Udostępnij za pośrednictwem

Niektóre aplikacje i interfejsy API wymagają dostępu do informacji o autoryzacji w obiektach konta

  • Artykuł

W tym artykule opisano niektóre aplikacje i interfejsy programowania aplikacji (API) muszą mieć dostęp do atrybutu token-groups-global-and-universal (TGGAU) na obiektach konta użytkownika lub na obiektach konta komputera w usłudze katalogowej Active Directory.

Oryginalny numer KB: 331951

Podsumowanie

Niektóre aplikacje mają funkcje odczytujące atrybutu token-groups-global-and-universal (TGGAU) na obiektach konta użytkownika lub obiektach konta komputera w usłudze katalogowej Microsoft Active Directory. Niektóre funkcje Win32 ułatwiają odczytywanie atrybutu TGGAU. Aplikacje odczytujące ten atrybut lub wywołujące interfejs API (nazywany funkcją w pozostałej części tego artykułu), które odczytują ten atrybut, nie powiedzie się, jeśli kontekst zabezpieczeń wywołujący nie ma dostępu do atrybutu.

Domyślnie dostęp do atrybutu TGGAU jest określany przez decyzję zgodności uprawnień (podjętą podczas tworzenia domeny podczas procesu DCPromo.exe). Domyślna zgodność uprawnień dla nowych domen systemu Windows Server 2003 nie udziela szerokiego dostępu do atrybutu TGGAU. Dostęp do odczytu atrybutu TGGAU można udzielić zgodnie z wymaganiami nowej grupy dostępu autoryzacji systemu Windows (WAA) w systemie Windows Server 2003.

Więcej informacji

Atrybut token-groups-global-and-universal (TGGAU) jest dynamicznie obliczaną wartością obiektów konta komputera i obiektów konta użytkownika w usłudze Active Directory. Ten atrybut wylicza członkostwa w grupach globalnych i członkostwa w grupach uniwersalnych dla odpowiedniego konta użytkownika lub konta komputera. Aplikacje mogą używać informacji o grupie udostępnianych przez atrybut TGGAU, aby podejmować różne decyzje dotyczące określonego użytkownika, gdy użytkownik nie jest zalogowany.

Na przykład aplikacja może użyć tych informacji, aby określić, czy użytkownik otrzymał dostęp do zasobu, dla którego aplikacja kontroluje dostęp. Aplikacje, które wymagają tych informacji, mogą odczytywać atrybut TGGAU bezpośrednio przy użyciu interfejsów protokołu Lightweight Directory Access Protocol lub interfejsów usług Active Directory. Jednak system Microsoft Windows Server 2003 wprowadził kilka funkcji (w tym funkcji AuthzInitializeContextFromSid i funkcji LsaLogonUser), które upraszczają odczytywanie i interpretowanie atrybutu TGGAU. W związku z tym aplikacje korzystające z tych funkcji mogą nieświadomie odczytywać atrybut TGGAU.

Aby aplikacje mogły bezpośrednio odczytać ten atrybut lub pośrednio odczytać ten atrybut (za pomocą interfejsu API), kontekst zabezpieczeń, w którym działa aplikacja, musi mieć przyznany dostęp do odczytu do obiektu TGGAU na obiektach użytkownika i na obiektach komputera. Nie oczekuje się, że aplikacje mają dostęp do TGGAU. W związku z tym można oczekiwać, że aplikacje nie powiedzą się po odmowie dostępu. W takiej sytuacji (użytkownik) może zostać wyświetlony komunikat o błędzie lub wpis dziennika, który wyjaśnia, że dostęp został odrzucony podczas próby odczytania tych informacji oraz zawiera instrukcje dotyczące uzyskiwania dostępu (zgodnie z opisem w dalszej części tego artykułu).

Kilka istniejących aplikacji zależy od informacji dostarczanych przez TGGAU, ponieważ informacje są domyślnie dostępne w systemie Microsoft Windows NT 4.0 i starszych systemach operacyjnych. Tak więc w systemach operacyjnych Microsoft Windows 2000 i Windows Server 2003 dostęp do odczytu do atrybutu TGGAU jest udzielany grupie Dostęp zgodny z systemem Windows 2000.

W przypadku domen korzystających z istniejących aplikacji można obsługiwać te aplikacje, dodając konteksty zabezpieczeń uruchamiane przez te aplikacje jako do grupy Dostęp zgodny z systemem Windows 2000. Zamiast tego można wybrać opcję "Uprawnienia zgodne z serwerami w systemie Windows 2000" podczas procesu DCPromo podczas tworzenia domeny. (W systemie Windows Server 2003 ta opcja jest sformułowana w następujący sposób: "Uprawnienia zgodne z systemami operacyjnymi przed systemem Windows 2000"). Ten wybór dodaje grupę Wszyscy do grupy Dostęp zgodny z systemem Windows 2000, a tym samym przyznaje grupie Wszyscy dostęp do odczytu do atrybutu TGGAU i wielu innych obiektów domeny.

Po utworzeniu nowej domeny systemu Windows Server 2003 domyślny wybór zgodności dostępu to Uprawnienia zgodne tylko z systemami operacyjnymi Windows 2000 lub Windows Server 2003. Po ustawieniu tej opcji grupa dostęp do zgodności systemu Windows 2000 zawiera tylko wbudowany identyfikator zabezpieczeń Uwierzytelnieni użytkownicy, a dostęp do odczytu do atrybutu TGGAU na obiektach jest ograniczony. W takim przypadku aplikacje, które wymagają dostępu do grupy TGGAU, są blokowane, chyba że konto, na którym działają aplikacje, ma uprawnienia administratora domeny lub podobne prawa użytkownika.

Włączanie aplikacji odczytywania atrybutu TGGAU

Aby uprościć proces udzielania dostępu do odczytu dla atrybutu token-groups-global-and-universal (TGGAU) dla użytkowników, którzy muszą odczytać atrybut, system Windows Server 2003 wprowadza grupę dostępu do autoryzacji systemu Windows (WAA).

W nowych instalacjach domen systemu Windows Server 2003 grupa WAA ma dostęp do atrybutu odczytu TGGAU na obiektach użytkownika i na obiektach grupy.

Domeny systemu Windows 2000

Jeśli domena jest w trybie zgodności systemu Windows 2000, grupa Wszyscy ma dostęp do odczytu do atrybutu TGGAU na obiektach konta użytkownika i na obiektach konta komputera. W tym trybie aplikacje i funkcje mają dostęp do TGGAU.

Jeśli domena nie znajduje się w trybie dostępu ze zgodnością systemu Windows 2000, może być konieczne włączenie niektórych aplikacji do odczytu TGGAU. Ponieważ grupa dostępu autoryzacji systemu Windows nie istnieje w systemie Windows 2000, zaleca się utworzenie grupy lokalnej domeny w tym celu i dodanie konta użytkownika lub komputera, które wymaga dostępu do atrybutu TGGAU do tej grupy. Ta grupa musiałaby mieć dostęp do atrybutu tokenGroupsGlobalAndUniversal na obiektach użytkownika, obiektach komputera i obiektach iNetOrgPerson .

Domeny trybu mieszanego i uaktualnione domeny

Po dodaniu kontrolera domeny systemu Windows Server 2003 do domeny systemu Windows 2000 wybór zgodności dostępu, który został wcześniej wybrany, nie zostanie zmieniony. W związku z tym domeny i domeny trybu mieszanego, które zostały uaktualnione do systemu Windows Server 2003, które były w trybie zgodności systemu Windows 2000, nadal mają grupę Wszyscy w grupie Dostęp zgodności systemu Windows 2000. Ponadto grupa Wszyscy nadal ma dostęp do atrybutu TGGAU. W tym trybie aplikacje i funkcje mają dostęp do TGGAU.

Jeśli domena trybu mieszanego nie znajduje się w trybie zgodności systemu Windows 2000, możesz udzielić uprawnień za pomocą grupy WAA:

  • Grupa WAA jest tworzona automatycznie po podwyższeniu poziomu kontrolera domeny systemu Windows Server 2003 do pływającego pojedynczego głównego serwera operacji.
  • Grupa WAA nie ma automatycznie przyznanego dostępu do atrybutu TGGAU w domenach trybu mieszanego i w uaktualnionych domenach.

Gdy grupa dostępu do autoryzacji systemu Windows (WAA) ma dostęp do atrybutu TGGAU, możesz umieścić konta, które wymagają dostępu w grupie WAA.

Nowe domeny systemu Windows Server 2003

Jeśli domena jest w trybie zgodności systemu Windows 2000, grupa Wszyscy ma dostęp do odczytu do atrybutu TGGAU na obiektach konta użytkownika i na obiektach konta komputera. W tym trybie aplikacje i funkcje mają dostęp do TGGAU.

Jeśli domena nie znajduje się w trybie dostępu ze zgodnością systemu Windows 2000, dodaj do grupy WAA te konta, które wymagają dostępu do TGGAU. W nowych instalacjach systemu Windows Server 2003 grupa WAA ma już dostęp do odczytu do TGGAU na obiektach użytkownika i na obiektach komputera.