Voor sommige toepassingen en API's is toegang tot autorisatiegegevens voor accountobjecten vereist

Artikel
01/15/2025

In dit artikel worden enkele toepassingen en API's (Application Programming Interfaces) beschreven die toegang moeten hebben tot het kenmerk token-groups-global-and-universal (TGGAU) voor gebruikersaccountobjecten of op computeraccountobjecten in de Active Directory-adreslijstservice.

Oorspronkelijk KB-nummer: 331951

Samenvatting

Sommige toepassingen hebben functies die het kenmerk token-groups-global-and-universal (TGGAU) lezen op gebruikersaccountobjecten of op computeraccountobjecten in de Microsoft Active Directory-adreslijstservice. Sommige Win32-functies maken het gemakkelijker om het TGGAU-kenmerk te lezen. Toepassingen die dit kenmerk lezen of een API aanroepen (in de rest van dit artikel een functie genoemd) die dit kenmerk leest, slagen niet als de aanroepende beveiligingscontext geen toegang heeft tot het kenmerk.

Standaard wordt de toegang tot het kenmerk TGGAU bepaald door de machtigingscompatibiliteitsbeslissing (gemaakt toen het domein werd gemaakt tijdens het DCPromo.exe proces). De standaardmachtigingscompatibiliteit voor nieuwe Windows Server 2003-domeinen verleent geen brede toegang tot het kenmerk TGGAU. Toegang tot het lezen van het TGGAU-kenmerk kan worden verleend aan de nieuwe WAA-groep (Windows Authorization Access ) in Windows Server 2003.

Meer informatie

Het kenmerk token-groups-global-and-universal (TGGAU) is een dynamisch berekende waarde voor computeraccountobjecten en op gebruikersaccountobjecten in Active Directory. Met dit kenmerk worden de globale groepslidmaatschappen en de universele groepslidmaatschappen voor het bijbehorende gebruikersaccount of computeraccount opgesomd. Toepassingen kunnen de groepsinformatie gebruiken die wordt verstrekt door het kenmerk TGGAU om verschillende beslissingen te nemen over een specifieke gebruiker wanneer de gebruiker niet is aangemeld.

Een toepassing kan deze informatie bijvoorbeeld gebruiken om te bepalen of een gebruiker toegang heeft gekregen tot een resource waarvoor de toepassing de toegang beheert. Toepassingen die deze informatie vereisen, kunnen het TGGAU-kenmerk rechtstreeks lezen met behulp van Lightweight Directory Access Protocol-interfaces of Active Directory Services-interfaces. Microsoft Windows Server 2003 heeft echter verschillende functies geïntroduceerd (waaronder de functie AuthzInitializeContextFromSid en de functie LsaLogonUser) waarmee het lezen en interpreteren van het kenmerk TGGAU wordt vereenvoudigd. Daarom kunnen toepassingen die gebruikmaken van deze functies onbewust het TGGAU-kenmerk lezen.

Voor toepassingen die dit kenmerk rechtstreeks kunnen lezen of indirect dit kenmerk kunnen lezen (via het gebruik van een API), moet de beveiligingscontext waarin de toepassing wordt uitgevoerd, leestoegang hebben gekregen tot het TGGAU-object op de gebruikersobjecten en op de computerobjecten. U verwacht niet dat toepassingen ervan uitgaan dat ze toegang hebben tot TGGAU. Daarom kunt u verwachten dat toepassingen mislukt wanneer de toegang wordt geweigerd. In dit geval ontvangt u (de gebruiker) mogelijk een foutbericht of een logboekvermelding waarin wordt uitgelegd dat de toegang is geweigerd tijdens het lezen van deze informatie en die instructies biedt over het verkrijgen van toegang (zoals verderop in dit artikel wordt beschreven).

Verschillende bestaande toepassingen zijn afhankelijk van de informatie die door TGGAU wordt verstrekt, omdat de informatie standaard beschikbaar is in Microsoft Windows NT 4.0 en in eerdere besturingssystemen. Op microsoft Windows 2000- en Windows Server 2003-besturingssystemen wordt leestoegang tot het kenmerk TGGAU verleend aan de groep Pre-Windows 2000 Compatibele toegang .

Voor domeinen die gebruikmaken van bestaande toepassingen, kunt u deze toepassingen afhandelen door de beveiligingscontexten toe te voegen die deze toepassingen uitvoeren als voor de pre-Windows 2000 Compatibele access-groep . In plaats daarvan kunt u de optie Machtigingen selecteren die compatibel zijn met pre-Windows 2000-servers tijdens het DCPromo-proces wanneer u een domein maakt. (Op Windows Server 2003 wordt deze optie als volgt weergegeven: 'Machtigingen die compatibel zijn met pre-Windows 2000-serverbesturingssystemen'.) Met deze selectie wordt de groep Iedereen toegevoegd aan de groep Pre-Windows 2000 Compatibele toegang , waardoor de groep Iedereen leestoegang verleent tot het TGGAU-kenmerk en aan vele andere domeinobjecten.

Wanneer een nieuw Windows Server 2003-domein wordt gemaakt, is de standaardselectie voor toegangscompatibiliteit alleen compatibel met Windows 2000- of Windows Server 2003-besturingssystemen. Wanneer deze optie is ingesteld, bevat de groep Compatibiliteitstoegang vóór Windows 2000 alleen de ingebouwde beveiligings-id geverifieerde gebruikers en is leestoegang tot het kenmerk TGGAU op objecten beperkt. In dit geval worden toepassingen die toegang tot de TGGAU-groep vereisen, geweigerd, tenzij het account waaronder de toepassingen worden uitgevoerd domeinbeheerdersrechten of vergelijkbare gebruikersrechten heeft.

Toepassingen inschakelen om het TGGAU-kenmerk te lezen

Om het proces van het verlenen van leestoegang op het kenmerk token-groups-global-and-universal (TGGAU) te vereenvoudigen aan gebruikers die het kenmerk moeten lezen, introduceert Windows Server 2003 de WAA-groep (Windows Authorization Access).

Op nieuwe installaties van Windows Server 2003-domeinen krijgt de WAA-groep toegang tot het kenmerk read TGGAU op gebruikersobjecten en op groepsobjecten.

Windows 2000-domeinen

Als het domein zich in de compatibiliteitsmodus vóór Windows 2000 bevindt, heeft de groep Iedereen leestoegang tot het kenmerk TGGAU op gebruikersaccountobjecten en op computeraccountobjecten. In deze modus hebben toepassingen en functies toegang tot TGGAU.

Als het domein zich niet in de compatibiliteitsmodus vóór Windows 2000 bevindt, moet u mogelijk bepaalde toepassingen inschakelen om de TGGAU te lezen. Omdat de Windows-autorisatietoegangsgroep niet bestaat in Windows 2000, is het raadzaam om hiervoor een lokale domeingroep te maken en dat u het gebruikers- of computeraccount toevoegt dat toegang tot het TGGAU-kenmerk voor die groep vereist. Deze groep moet toegang krijgen tot het tokenGroupsGlobalAndUniversal kenmerk op gebruikersobjecten, op computerobjecten en op iNetOrgPerson objecten.

Domeinen met gemengde modus en bijgewerkte domeinen

Wanneer een Windows Server 2003-domeincontroller wordt toegevoegd aan een Windows 2000-domein, wordt de eerder geselecteerde toegangscompatibiliteitsselectie niet gewijzigd. Domeinen en domeinen in de gemengde modus die zijn bijgewerkt naar Windows Server 2003 die zich in de compatibiliteitsmodus vóór Windows 2000 bevonden, blijven dus de groep Iedereen in de groep Compatibiliteitstoegang vóór Windows 2000 behouden. Daarnaast heeft de groep Iedereen nog steeds toegang tot het TGGAU-kenmerk. In deze modus hebben toepassingen en functies toegang tot TGGAU.

Als het domein voor gemengde modus zich niet in de modus voor compatibiliteitstoegang voor Windows 2000 bevindt, kunt u machtigingen verlenen via de WAA-groep:

De WAA-groep wordt automatisch gemaakt wanneer een Windows Server 2003-domeincontroller wordt gepromoveerd naar de Floating Single Master Operations Server.
De WAA-groep krijgt niet automatisch toegang tot het TGGAU-kenmerk op domeinen in de gemengde modus en op bijgewerkte domeinen.

Nadat de GROEP Windows Authorization Access (WAA) toegang heeft tot het TGGAU-kenmerk, kunt u de accounts plaatsen die toegang in de WAA-groep vereisen.

Nieuwe Windows Server 2003-domeinen

Als het domein zich niet in de compatibiliteitsmodus vóór Windows 2000 bevindt, voegt u deze accounts toe aan de WAA-groep waarvoor toegang tot TGGAU is vereist. In nieuwe installaties van Windows Server 2003 heeft de WAA-groep al leestoegang tot TGGAU op gebruikersobjecten en op computerobjecten.

Delen via