Поделиться через

Для некоторых приложений и API требуется доступ к сведениям о авторизации для объектов учетной записи

  • Статья

В этой статье описаны некоторые приложения и интерфейсы программирования приложений (API) должны иметь доступ к атрибуту token-groups-global-and-universal (TGGAU) для объектов учетной записи пользователя или объектов учетной записи компьютера в службе каталогов Active Directory.

Исходный номер базы знаний: 331951

Итоги

Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) для объектов учетной записи пользователя или на объектах учетной записи компьютера в службе каталогов Microsoft Active Directory. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, считывающие этот атрибут или вызывающие API (называемые функцией в остальной части этой статьи), которые считывают этот атрибут, не выполняются, если вызывающий контекст безопасности не имеет доступа к атрибуту.

По умолчанию доступ к атрибуту TGGAU определяется решением о совместимости разрешений (принятое при создании домена во время процесса DCPromo.exe). Совместимость разрешений по умолчанию для новых доменов Windows Server 2003 не предоставляет широкий доступ к атрибуту TGGAU. Доступ к чтению атрибута TGGAU можно предоставить по мере необходимости новой группе доступа к авторизации Windows (WAA) в Windows Server 2003.

Дополнительная информация

Атрибут token-groups-global-and-universal (TGGAU) — это динамически вычисляемое значение для объектов учетной записи компьютера и объектов учетной записи пользователя в Active Directory. Этот атрибут перечисляет членство в глобальных группах и членство в универсальных группах для соответствующей учетной записи пользователя или учетной записи компьютера. Приложения могут использовать сведения о группе, предоставляемые атрибутом TGGAU, для принятия различных решений о конкретном пользователе, если пользователь не вошел в систему.

Например, приложение может использовать эти сведения для определения того, предоставлен ли пользователю доступ к ресурсу, для доступа к которому приложение управляет доступом. Приложения, которым требуется эта информация, могут считывать атрибут TGGAU непосредственно с помощью интерфейсов протокола доступа к упрощению каталогов или интерфейсов служб Active Directory. Однако Microsoft Windows Server 2003 представила несколько функций (включая функцию AuthzInitializeContextFromSid и функцию LsaLogonUser), упрощающую чтение и интерпретацию атрибута TGGAU. Поэтому приложения, использующие эти функции, могут неназнательно читать атрибут TGGAU.

Чтобы приложения могли напрямую считывать этот атрибут или косвенно читать этот атрибут (с помощью API), контекст безопасности, в котором приложение выполняется, должно быть предоставлено доступ на чтение к объекту TGGAU на пользовательских объектах и на компьютерах. Приложения не ожидают, что у них есть доступ к TGGAU. Таким образом, можно ожидать, что приложения будут неудачными при отказе доступа. В этой ситуации вы (пользователь) можете получить сообщение об ошибке или запись журнала, которая объясняет, что доступ был отклонен при попытке прочитать эту информацию, и содержит инструкции о том, как получить доступ (как описано далее в этой статье).

Несколько существующих приложений зависят от сведений, предоставляемых TGGAU, так как информация доступна по умолчанию в Microsoft Windows NT 4.0 и в более ранних операционных системах. Так что в операционных системах Microsoft Windows 2000 и Windows Server 2003 доступ на чтение к атрибуту TGGAU предоставляется группе доступа, совместимой с Предварительной версией Windows 2000.

Для доменов, использующих существующие приложения, можно обрабатывать эти приложения, добавив контексты безопасности, которые эти приложения выполняются в группу доступа с совместимостью с Windows 2000. Вместо этого можно выбрать параметр "Разрешения, совместимые с серверами до Windows 2000" во время процесса DCPromo при создании домена. (В Windows Server 2003 этот параметр называется следующим образом: "Разрешения, совместимые с операционными системами сервера до Windows 2000".) Этот выбор добавляет группу "Все" в группу доступа с совместимостью с Windows 2000 и тем самым предоставляет группе "Все" доступ для чтения к атрибуту TGGAU и многим другим объектам домена.

При создании нового домена Windows Server 2003 выбор совместимости доступа по умолчанию совместим только с операционными системами Windows 2000 или Windows Server 2003. Если этот параметр задан, группа доступа к совместимости Windows 2000 включает только встроенный идентификатор безопасности для пользователей с проверкой подлинности, а доступ на чтение к атрибуту TGGAU для объектов ограничен. В этом случае приложениям, которым требуется доступ к группе TGGAU, запрещен доступ, если учетная запись, в которой запущены приложения, имеют права администратора домена или аналогичные права пользователя.

Включение приложений для чтения атрибута TGGAU

Чтобы упростить процесс предоставления доступа на чтение для атрибута token-groups-global-and-universal (TGGAU) пользователям, которые должны читать атрибут, Windows Server 2003 представляет группу Windows Authorization Access (WAA).

В новых установках доменов Windows Server 2003 группа WAA предоставляет доступ к атрибуту TGGAU чтения для пользовательских объектов и объектов группы.

Домены Windows 2000

Если домен находится в режиме доступа к windows 2000 до Windows 2000, группа "Все" имеет доступ на чтение к атрибуту TGGAU для объектов учетной записи пользователя и на объектах учетной записи компьютера. В этом режиме приложения и функции имеют доступ к TGGAU.

Если домен отсутствует в режиме доступа к Windows 2000, может потребоваться разрешить некоторым приложениям считывать TGGAU. Так как группа доступа к авторизации Windows не существует в Windows 2000, рекомендуется создать локальную группу домена для этой цели и добавить учетную запись пользователя или компьютера, требующую доступа к атрибуту TGGAU в эту группу. Эта группа должна быть предоставлена доступ к атрибуту tokenGroupsGlobalAndUniversal для пользовательских объектов, на компьютерах и на iNetOrgPerson объектах.

Домены смешанного режима и обновленные домены

Когда контроллер домена Windows Server 2003 добавляется в домен Windows 2000, выбор совместимости доступа, выбранный ранее, не изменяется. Таким образом, домены и домены смешанного режима, которые были обновлены до Windows Server 2003, которые находились в режиме доступа к windows 2000 до Windows 2000, продолжают иметь группу "Все" в группе доступа к совместимости До Windows 2000. Кроме того, группа "Все" по-прежнему имеет доступ к атрибуту TGGAU. В этом режиме приложения и функции имеют доступ к TGGAU.

Если домен смешанного режима не включен в режиме доступа к Windows 2000, вы можете предоставить разрешения с помощью группы WAA:

  • Группа WAA автоматически создается при повышении уровня контроллера домена Windows Server 2003 до главного сервера с плавающей запятой.
  • Группа WAA не предоставляет автоматический доступ к атрибуту TGGAU в доменах смешанного режима и обновленных доменах.

После того как группа доступа к авторизации Windows (WAA) имеет доступ к атрибуту TGGAU, вы можете разместить учетные записи, требующие доступа в группе WAA.

Новые домены Windows Server 2003

Если домен находится в режиме доступа к windows 2000 до Windows 2000, группа "Все" имеет доступ на чтение к атрибуту TGGAU для объектов учетной записи пользователя и на объектах учетной записи компьютера. В этом режиме приложения и функции имеют доступ к TGGAU.

Если домен отсутствует в режиме доступа к Windows 2000, добавьте в группу WAA эти учетные записи, требующие доступа к TGGAU. В новых установках Windows Server 2003 группа WAA уже имеет доступ на чтение к TGGAU на пользовательских объектах и на компьютерах.