Algunas aplicaciones y API requieren acceso a la información de autorización en objetos de cuenta

Artículo
11/20/2024

En este artículo se describen algunas aplicaciones y interfaces de programación de aplicaciones (API) deben tener acceso al atributo token-groups-global-and-universal (TGGAU) en objetos de cuenta de usuario o en objetos de cuenta de equipo en el servicio de directorio de Active Directory.

Número de KB original: 331951

Resumen

Algunas aplicaciones tienen características que leen el atributo token-groups-global-and-universal (TGGAU) en objetos de cuenta de usuario o en objetos de cuenta de equipo en el servicio de directorio de Microsoft Active Directory. Algunas funciones de Win32 facilitan la lectura del atributo TGGAU. Las aplicaciones que leen este atributo o que llaman a una API (denominada función en el resto de este artículo) que lee este atributo no se realizan correctamente si el contexto de seguridad que realiza la llamada no tiene acceso al atributo.

De forma predeterminada, el acceso al atributo TGGAU viene determinado por la decisión de compatibilidad de permisos (tomada cuando se creó el dominio durante el proceso de DCPromo.exe). La compatibilidad de permisos predeterminada para los nuevos dominios de Windows Server 2003 no concede acceso amplio al atributo TGGAU. Se puede conceder acceso para leer el atributo TGGAU según sea necesario para el nuevo grupo de acceso de autorización de Windows (WAA) en Windows Server 2003.

Más información

El atributo token-groups-global-and-universal (TGGAU) es un valor calculado dinámicamente en objetos de cuenta de equipo y en objetos de cuenta de usuario en Active Directory. Este atributo enumera las pertenencias a grupos globales y las pertenencias a grupos universales para la cuenta de usuario o la cuenta de equipo correspondientes. Las aplicaciones pueden usar la información de grupo proporcionada por el atributo TGGAU para tomar diversas decisiones sobre un usuario específico cuando el usuario no haya iniciado sesión.

Por ejemplo, una aplicación puede usar esta información para determinar si se ha concedido acceso a un usuario a un recurso para el que la aplicación controla el acceso. Las aplicaciones que requieren esta información pueden leer directamente el atributo TGGAU mediante interfaces ligeras del protocolo de acceso a directorios o interfaces de servicios de Active Directory. Sin embargo, Microsoft Windows Server 2003 introdujo varias funciones (incluida la función AuthzInitializeContextFromSid y la función LsaLogonUser) que simplifican la lectura e interpretación del atributo TGGAU. Por lo tanto, las aplicaciones que usan estas funciones pueden leer sin saberlo el atributo TGGAU.

Para que las aplicaciones puedan leer directamente este atributo o leer indirectamente este atributo (mediante el uso de una API), el contexto de seguridad en el que se ejecuta la aplicación debe tener acceso de lectura al objeto TGGAU en los objetos de usuario y en los objetos de equipo. No espera que las aplicaciones asuman que tienen acceso a TGGAU. Por lo tanto, puede esperar que las aplicaciones no se realicen correctamente cuando se deniegue el acceso. En esta situación, usted (el usuario) puede recibir un mensaje de error o una entrada de registro que explica que se denegó el acceso al intentar leer esta información y que proporciona instrucciones sobre cómo obtener acceso (como se describe más adelante en este artículo).

Varias aplicaciones existentes dependen de la información proporcionada por TGGAU porque la información está disponible de forma predeterminada en Microsoft Windows NT 4.0 y en sistemas operativos anteriores. Por lo tanto, en los sistemas operativos Microsoft Windows 2000 y Windows Server 2003, se concede acceso de lectura al atributo TGGAU al grupo Acceso compatible con Pre-Windows 2000.

En el caso de los dominios que usan aplicaciones existentes, puede controlar estas aplicaciones agregando los contextos de seguridad que esas aplicaciones se ejecutan como al grupo De acceso compatible con Pre-Windows 2000. En su lugar, puede seleccionar la opción "Permisos compatibles con servidores anteriores a Windows 2000" durante el proceso de DCPromo al crear un dominio. (En Windows Server 2003, esta opción se indica de la siguiente manera: "Permisos compatibles con sistemas operativos de servidor anteriores a Windows 2000".) Esta selección agrega el grupo Todos al grupo Acceso compatible con Pre-Windows 2000 y, por tanto, concede al grupo Todos acceso de lectura al atributo TGGAU y a muchos otros objetos de dominio.

Cuando se crea un nuevo dominio de Windows Server 2003, la selección de compatibilidad de acceso predeterminada es Permisos compatibles solo con sistemas operativos Windows 2000 o Windows Server 2003. Cuando se establece esta opción, el grupo Acceso de compatibilidad anterior a Windows 2000 incluye solo el identificador de seguridad integrado Usuarios autenticados y el acceso de lectura al atributo TGGAU en los objetos es limitado. En este caso, las aplicaciones que requieren acceso al grupo TGGAU se deniegan a menos que la cuenta con la que se ejecuten las aplicaciones tenga derechos de administrador de dominio o derechos de usuario similares.

Habilitación de aplicaciones para leer el atributo TGGAU

Para simplificar el proceso de concesión de acceso de lectura en el atributo token-groups-global-and-universal (TGGAU) a los usuarios que deben leer el atributo, Windows Server 2003 presenta el grupo Acceso de autorización de Windows (WAA).

En las nuevas instalaciones de dominios de Windows Server 2003, al grupo WAA se le concede acceso al atributo TGGAU de lectura en objetos de usuario y en objetos de grupo.

Dominios de Windows 2000

Si el dominio está en modo de acceso de compatibilidad anterior a Windows 2000, el grupo Todos tiene acceso de lectura al atributo TGGAU en objetos de cuenta de usuario y en objetos de cuenta de equipo. En este modo, las aplicaciones y las funciones tienen acceso a TGGAU.

Si el dominio no está en modo de acceso de compatibilidad anterior a Windows 2000, es posible que tengas que permitir que determinadas aplicaciones lean el TGGAU. Dado que el grupo de acceso de autorización de Windows no existe en Windows 2000, se recomienda crear un grupo local de dominio para este propósito y agregar la cuenta de usuario o equipo que requiere acceso al atributo TGGAU a ese grupo. Este grupo tendría que tener acceso al tokenGroupsGlobalAndUniversal atributo en objetos de usuario, en objetos de equipo y en iNetOrgPerson objetos .

Dominios de modo mixto y dominios actualizados

Cuando se agrega un controlador de dominio de Windows Server 2003 a un dominio de Windows 2000, la selección de compatibilidad de acceso seleccionada anteriormente no cambia. Por lo tanto, los dominios y dominios de modo mixto que se actualizaron a Windows Server 2003 que estaban en el modo de acceso de compatibilidad anterior a Windows 2000 siguen teniendo el grupo Todos en el grupo Acceso de compatibilidad anterior a Windows 2000. Además, el grupo Todos sigue teniendo acceso al atributo TGGAU. En este modo, las aplicaciones y las funciones tienen acceso a TGGAU.

Si el dominio de modo mixto no está en modo de acceso de compatibilidad anterior a Windows 2000, puede conceder permisos mediante el grupo WAA:

El grupo WAA se crea automáticamente cuando se promueve un controlador de dominio de Windows Server 2003 al servidor flotante de operaciones maestras únicas.
El grupo WAA no concede automáticamente acceso al atributo TGGAU en dominios de modo mixto y en dominios actualizados.

Después de que el grupo acceso de autorización de Windows (WAA) tenga acceso al atributo TGGAU, puede colocar las cuentas que requieren acceso en el grupo WAA.

Nuevos dominios de Windows Server 2003

Si el dominio no está en modo de acceso de compatibilidad anterior a Windows 2000, agregue al grupo WAA las cuentas que requieren acceso a TGGAU. En las nuevas instalaciones de Windows Server 2003, el grupo WAA ya tiene acceso de lectura a TGGAU en objetos de usuario y en objetos de equipo.

Compartir a través de