Alcune applicazioni e API richiedono l'accesso alle informazioni di autorizzazione sugli oggetti account
Questo articolo descrive alcune applicazioni e le API (Application Programming Interface) devono avere accesso all'attributo token-groups-global-and-universal (TG ROUTE) sugli oggetti dell'account utente o sugli oggetti account computer nel servizio Directory Active Directory.
Numero KB originale: 331951
Riepilogo
Alcune applicazioni dispongono di funzionalità che leggono l'attributo token-groups-global-and-universal (TG ROUTE) sugli oggetti dell'account utente o sugli oggetti account computer nel servizio directory di Microsoft Active Directory. Alcune funzioni Win32 semplificano la lettura dell'attributo TG ROUTE. Le applicazioni che leggono questo attributo o che chiamano un'API (denominata funzione nel resto di questo articolo) che leggono questo attributo non riescono se il contesto di sicurezza chiamante non ha accesso all'attributo.
Per impostazione predefinita, l'accesso all'attributo TG ROUTE è determinato dalla decisione relativa alla compatibilità delle autorizzazioni (presa quando il dominio è stato creato durante il processo di DCPromo.exe). La compatibilità predefinita delle autorizzazioni per i nuovi domini di Windows Server 2003 non concede l'accesso ampio all'attributo TG ROUTE. L'accesso alla lettura dell'attributo TG ROUTE può essere concesso in base alle esigenze per il nuovo gruppo di accesso alle autorizzazioni di Windows in Windows Server 2003.
Ulteriori informazioni
L'attributo token-groups-global-and-universal (TG ROUTE) è un valore calcolato dinamicamente sugli oggetti account computer e sugli oggetti account utente in Active Directory. Questo attributo enumera le appartenenze ai gruppi globali e le appartenenze a gruppi universali per l'account utente o l'account computer corrispondente. Le applicazioni possono usare le informazioni sul gruppo fornite dall'attributo TG ROUTE per prendere varie decisioni su un utente specifico quando l'utente non è connesso.
Ad esempio, un'applicazione può usare queste informazioni per determinare se a un utente è stato concesso l'accesso a una risorsa per cui l'applicazione controlla l'accesso. Le applicazioni che richiedono queste informazioni possono leggere direttamente l'attributo TG ROUTE usando interfacce Lightweight Directory Access Protocol o Interfacce di Active Directory Services. Tuttavia, Microsoft Windows Server 2003 ha introdotto diverse funzioni (tra cui la funzione AuthzInitializeContextFromSid e la funzione LsaLogonUser) che semplificano la lettura e l'interpretazione dell'attributo TG ROUTE. Di conseguenza, le applicazioni che usano queste funzioni possono leggere inconsapevolmente l'attributo TG ROUTE.
Affinché le applicazioni possano leggere direttamente questo attributo o leggere indirettamente questo attributo (tramite l'uso di un'API), al contesto di sicurezza in cui viene eseguita l'applicazione deve essere stato concesso l'accesso in lettura all'oggetto TG ROUTE sugli oggetti utente e sugli oggetti computer. Non ci si aspetta che le applicazioni presuppongono che abbiano accesso a TGGAU. Pertanto, è possibile prevedere che le applicazioni non riescano quando l'accesso viene negato. In questo caso, l'utente (utente) potrebbe ricevere un messaggio di errore o una voce di log che spiega che l'accesso è stato negato durante il tentativo di leggere queste informazioni e che fornisce istruzioni su come ottenere l'accesso (come descritto più avanti in questo articolo).
Diverse applicazioni esistenti dipendono dalle informazioni fornite da TG ROUTE perché le informazioni sono disponibili per impostazione predefinita in Microsoft Windows NT 4.0 e nei sistemi operativi precedenti. Così nei sistemi operativi Microsoft Windows 2000 e Windows Server 2003, l'accesso in lettura all'attributo TG ROUTE viene concesso al gruppo Accesso compatibile con Pre-Windows 2000.
Per i domini che usano applicazioni esistenti, è possibile gestire queste applicazioni aggiungendo i contesti di sicurezza eseguiti da tali applicazioni al gruppo accesso compatibile pre-Windows 2000. È invece possibile selezionare l'opzione "Autorizzazioni compatibili con i server pre-Windows 2000" durante il processo DCPromo quando si crea un dominio. In Windows Server 2003 questa opzione è denominata come segue: "Autorizzazioni compatibili con i sistemi operativi server precedenti a Windows 2000".) Questa selezione aggiunge il gruppo Everyone al gruppo Accesso compatibile pre-Windows 2000 e concede quindi al gruppo Everyone l'accesso in lettura all'attributo TG ROUTE e a molti altri oggetti di dominio.
Quando viene creato un nuovo dominio di Windows Server 2003, la selezione di compatibilità di accesso predefinita è Autorizzazioni compatibili solo con i sistemi operativi Windows 2000 o Windows Server 2003. Quando questa opzione è impostata, il gruppo accesso alla compatibilità pre-Windows 2000 include solo l'identificatore di sicurezza predefinito Authenticated Users e l'accesso in lettura all'attributo TG ROUTE per gli oggetti è limitato. In questo caso, le applicazioni che richiedono l'accesso al gruppo TG ROUTE vengono negate, a meno che l'account con cui le applicazioni eseguano diritti di amministratore di dominio o diritti utente simili.
Abilitazione delle applicazioni per la lettura dell'attributo TG ROUTE
Per semplificare il processo di concessione dell'accesso in lettura nell'attributo token-groups-global-and-universal (TG ROUTE) agli utenti che devono leggere l'attributo, Windows Server 2003 introduce il gruppo Di accesso alle autorizzazioni di Windows .
Nelle nuove installazioni di domini di Windows Server 2003, al gruppo WAA viene concesso l'accesso all'attributo TG BLOB in lettura sugli oggetti utente e sugli oggetti gruppo.
Domini di Windows 2000
Se il dominio è in modalità di accesso alla compatibilità precedente a Windows 2000, il gruppo Everyone ha accesso in lettura all'attributo TG ROUTE sugli oggetti dell'account utente e sugli oggetti dell'account computer. In questa modalità, le applicazioni e le funzioni hanno accesso a TGGAU.
Se il dominio non è in modalità di accesso alla compatibilità pre-Windows 2000, potrebbe essere necessario abilitare determinate applicazioni per leggere il TG INTEGER. Poiché il gruppo di accesso all'autorizzazione di Windows non esiste in Windows 2000, è consigliabile creare un gruppo locale di dominio per questo scopo e aggiungere l'account utente o computer che richiede l'accesso all'attributo TG ROUTE a tale gruppo. A questo gruppo deve essere assegnato l'accesso all'attributo tokenGroupsGlobalAndUniversal sugli oggetti utente, sugli oggetti computer e sugli iNetOrgPerson oggetti .
Domini in modalità mista e domini aggiornati
Quando un controller di dominio di Windows Server 2003 viene aggiunto a un dominio di Windows 2000, la selezione di compatibilità di accesso selezionata in precedenza non viene modificata. I domini e i domini in modalità mista che sono stati aggiornati a Windows Server 2003 che erano in modalità di accesso alla compatibilità precedente a Windows 2000 continuano ad avere il gruppo Everyone nel gruppo Accesso alla compatibilità pre-Windows 2000. Inoltre, il gruppo Everyone ha ancora accesso all'attributo TG ROUTE. In questa modalità, le applicazioni e le funzioni hanno accesso a TGGAU.
Se il dominio in modalità mista non è in modalità di accesso alla compatibilità pre-Windows 2000, è possibile concedere le autorizzazioni tramite il gruppo WAA:
- Il gruppo WAA viene creato automaticamente quando un controller di dominio windows Server 2003 viene alzato di livello al server operatore master singolo mobile.
- Al gruppo WAA non viene concesso automaticamente l'accesso all'attributo TG ROUTE nei domini in modalità mista e nei domini aggiornati.
Dopo che il gruppo di accesso alle autorizzazioni di Windows (WAA) ha accesso all'attributo TG ROUTE, è possibile inserire gli account che richiedono l'accesso nel gruppo WAA.
Nuovi domini di Windows Server 2003
Se il dominio è in modalità di accesso alla compatibilità precedente a Windows 2000, il gruppo Everyone ha accesso in lettura all'attributo TG ROUTE sugli oggetti dell'account utente e sugli oggetti dell'account computer. In questa modalità, le applicazioni e le funzioni hanno accesso a TGGAU.
Se il dominio non è in modalità di accesso alla compatibilità di Pre-Windows 2000, aggiungere al gruppo WAA gli account che richiedono l'accesso a TGROUTE. Nelle nuove installazioni di Windows Server 2003, il gruppo WAA ha già accesso in lettura a TG ROUTE sugli oggetti utente e sugli oggetti computer.