次の方法で共有

一部のアプリケーションと API では、アカウント オブジェクトの認証情報へのアクセスが必要です

  • [アーティクル]

この記事では、一部のアプリケーションおよびアプリケーション プログラミング インターフェイス (API) が、ユーザー アカウント オブジェクトまたは Active Directory ディレクトリ サービスのコンピューター アカウント オブジェクトの token-groups-global-and-universal (TGGAU) 属性にアクセスできる必要があります。

元の KB 番号: 331951

まとめ

一部のアプリケーションには、ユーザー アカウント オブジェクトまたは Microsoft Active Directory ディレクトリ サービスのコンピューター アカウント オブジェクトで token-groups-global-and-universal (TGGAU) 属性を読み取る機能があります。 Win32 関数の中には、TGGAU 属性を読みやすくするものがあります。 この属性を読み取るアプリケーション、またはこの属性を読み取る API (この記事の残りの部分では関数と呼ばれます) を呼び出すアプリケーションは、呼び出し元のセキュリティ コンテキストが属性にアクセスできない場合は成功しません。

既定では、TGGAU 属性へのアクセスは、 Permission Compatibility 決定によって決まります (DCPromo.exe プロセス中にドメインが作成されたときに行われます)。 新しい Windows Server 2003 ドメインの既定のアクセス許可の互換性では、TGGAU 属性への広範なアクセス権は付与されません。 TGGAU 属性を読み取るアクセス権は、Windows Server 2003 の新しい Windows Authorization Access (WAA) グループに必要に応じて付与できます。

詳細

token-groups-global-and-universal (TGGAU) 属性は、Active Directory のコンピューター アカウント オブジェクトとユーザー アカウント オブジェクトで動的に計算される値です。 この属性は、対応するユーザー アカウントまたはコンピューター アカウントのグローバル グループ メンバーシップとユニバーサル グループ メンバーシップを列挙します。 アプリケーションは、TGGAU 属性によって提供されるグループ情報を使用して、ユーザーがログオンしていないときに特定のユーザーに関してさまざまな決定を行うことができます。

たとえば、アプリケーションはこの情報を使用して、アプリケーションがアクセスを制御するリソースへのアクセス権がユーザーに付与されているかどうかを判断できます。 この情報を必要とするアプリケーションは、ライトウェイト ディレクトリ アクセス プロトコル インターフェイスまたは Active Directory サービス インターフェイスを使用して TGGAU 属性を直接読み取ることができます。 ただし、Microsoft Windows Server 2003 では、TGGAU 属性の読み取りと解釈を簡略化するいくつかの関数 (AuthzInitializeContextFromSid 関数と LsaLogonUser 関数を含む) が導入されました。 したがって、これらの関数を使用するアプリケーションは、知らず知らずのうちに TGGAU 属性を読み取っている可能性があります。

アプリケーションがこの属性を直接読み取ったり、(API を使用して) 間接的にこの属性を読み取ったりできるようにするには、アプリケーションが実行されるセキュリティ コンテキストに、ユーザー オブジェクトとコンピューター オブジェクト上の TGGAU オブジェクトへの読み取りアクセス権が付与されている必要があります。 アプリケーションが TGGAU へのアクセス権を持っているとは想定していません。 そのため、アクセスが拒否されると、アプリケーションが失敗することが予想されます。 このような状況では、ユーザー (ユーザー) は、この情報の読み取り中にアクセスが拒否されたことを説明するエラー メッセージまたはログ エントリを受け取り、(この記事で後述するように) アクセスを取得する方法に関する手順を提供します。

Microsoft Windows NT 4.0 以前のオペレーティング システムでは既定で情報を使用できるため、いくつかの既存のアプリケーションは TGGAU によって提供される情報に依存します。 そのため、Microsoft Windows 2000 および Windows Server 2003 オペレーティング システムでは、TGGAU 属性への読み取りアクセスが Pre-Windows 2000 互換アクセス グループに付与されます。

既存のアプリケーションを使用するドメインの場合は、これらのアプリケーションが実行するセキュリティ コンテキストを Pre-Windows 2000 互換アクセス グループに追加することで、これらのアプリケーションを処理できます。 代わりに、ドメインを作成するときに、DCPromo プロセス中に "Windows 2000 より前のサーバーと互換性のあるアクセス許可" オプションを選択できます。 (Windows Server 2003 では、このオプションは次のように表示されます。 "Windows 2000 より前のサーバー オペレーティング システムと互換性のあるアクセス許可")。この選択により、 Everyone グループが Pre-Windows 2000 互換アクセス グループに追加され、TGGAU 属性とその他の多くのドメイン オブジェクトに対する Everyone グループの読み取りアクセスが許可されます。

新しい Windows Server 2003 ドメインが作成されると、既定のアクセス互換性の選択は Windows 2000 または Windows Server 2003 オペレーティング システムのみと互換性のあるアクセス許可。 このオプションを設定すると、 Pre-Windows 2000 互換アクセス グループには認証済みユーザーの組み込みセキュリティ識別子のみが含まれており、オブジェクトの TGGAU 属性への読み取りアクセスは制限されます。 この場合、TGGAU グループへのアクセスを必要とするアプリケーションは、アプリケーションを実行するアカウントにドメイン管理者権限または同様のユーザー権限がない限り、アクセスが拒否されます。

アプリケーションが TGGAU 属性を読み取る

トークン グループ グローバルおよびユニバーサル (TGGAU) 属性の読み取りアクセス権を、属性を読み取る必要があるユーザーに付与するプロセスを簡略化するために、Windows Server 2003 では Windows 承認アクセス (WAA) グループが導入されています。

Windows Server 2003 ドメインの新規インストールでは、WAA グループには、ユーザー オブジェクトおよびグループ オブジェクトの読み取り TGGAU 属性へのアクセス権が付与されます。

Windows 2000 ドメイン

ドメインが Windows 2000 より前の互換アクセス モードの場合、 Everyone グループは、ユーザー アカウント オブジェクトとコンピューター アカウント オブジェクトの TGGAU 属性への読み取りアクセス権を持ちます。 このモードでは、アプリケーションと関数は TGGAU にアクセスできます。

ドメインが Windows 2000 より前の互換性アクセス モードでない場合は、特定のアプリケーションで TGGAU を読み取る必要がある場合があります。 windows 2000 には Windows 承認アクセス グループ が存在しないため、この目的でドメイン ローカル グループを作成し、TGGAU 属性へのアクセスを必要とするユーザーまたはコンピューター アカウントをそのグループに追加することをお勧めします。 このグループには、ユーザー オブジェクト、コンピューター オブジェクト、およびiNetOrgPerson オブジェクトのtokenGroupsGlobalAndUniversal属性へのアクセス権が与えられている必要があります。

混合モード ドメインとアップグレードされたドメイン

Windows Server 2003 ドメイン コントローラーを Windows 2000 ドメインに追加しても、以前に選択したアクセス互換性の選択は変更されません。 そのため、Windows 2000 互換アクセス モードより前の Windows Server 2003 にアップグレードされた混合モードドメインとドメインは、引き続き Pre-Windows 2000 互換アクセス グループに Everyone グループを持ちます。 さらに、 Everyone グループは TGGAU 属性に引き続きアクセスできます。 このモードでは、アプリケーションと関数は TGGAU にアクセスできます。

混合モード ドメインが Windows 2000 より前の互換アクセス モードでない場合は、WAA グループを使用してアクセス許可を付与できます。

  • WaA グループは、Windows Server 2003 ドメイン コントローラーがフローティング シングル マスター操作サーバーに昇格されると自動的に作成されます。
  • WAA グループには、混合モード ドメインとアップグレードされたドメインの TGGAU 属性へのアクセス権は自動的に付与されません。

Windows 承認アクセス (WAA) グループが TGGAU 属性にアクセスできる場合は、アクセスが必要なアカウントを WAA グループに配置できます。

新しい Windows Server 2003 ドメイン

ドメインが Windows 2000 より前の互換アクセス モードの場合、 Everyone グループは、ユーザー アカウント オブジェクトとコンピューター アカウント オブジェクトの TGGAU 属性への読み取りアクセス権を持ちます。 このモードでは、アプリケーションと関数は TGGAU にアクセスできます。

ドメインが Windows 2000 より前の互換アクセス モードでない場合は、TGGAU へのアクセスを必要とするアカウントを WAA グループに追加します。 Windows Server 2003 の新規インストールでは、WAA グループは既に、ユーザー オブジェクトとコンピューター オブジェクトの TGGAU への読み取りアクセス権を持っています。