Sommige toepassingen en API's vereisen toegang tot autorisatiegegevens voor accountobjecten

Artikel
02/19/2024

In dit artikel wordt beschreven dat sommige toepassingen en API's (Application Programming Interfaces) toegang moeten hebben tot het kenmerk token-groups-global-and-universal (TGGAU) voor gebruikersaccountobjecten of voor computeraccountobjecten in de Active Directory-adreslijstservice.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 331951

Samenvatting

Sommige toepassingen hebben functies die het kenmerk token-groups-global-and-universal (TGGAU) lezen voor gebruikersaccountobjecten of op computeraccountobjecten in de Adreslijstservice van Microsoft Active Directory. Sommige Win32-functies maken het gemakkelijker om het kenmerk TGGAU te lezen. Toepassingen die dit kenmerk lezen of die een API aanroepen (in de rest van dit artikel een functie genoemd) die dit kenmerk leest, slagen niet als de aanroepende beveiligingscontext geen toegang heeft tot het kenmerk.

De toegang tot het kenmerk TGGAU wordt standaard bepaald door de beslissing Over compatibiliteit van machtigingen (gemaakt toen het domein werd gemaakt tijdens het DCPromo.exe proces). De standaardmachtigingscompatibiliteit voor nieuwe Windows Server 2003-domeinen verleent geen brede toegang tot het kenmerk TGGAU. Toegang voor het lezen van het kenmerk TGGAU kan worden verleend zoals vereist aan de nieuwe Groep Windows Authorization Access (WAA) in Windows Server 2003.

Meer informatie

Het kenmerk token-groups-global-and-universal (TGGAU) is een dynamisch berekende waarde voor computeraccountobjecten en gebruikersaccountobjecten in Active Directory. Dit kenmerk somt de globale groepslidmaatschappen en de universele groepslidmaatschappen op voor het bijbehorende gebruikersaccount of computeraccount. Toepassingen kunnen de groepsinformatie die wordt verstrekt door het TGGAU-kenmerk gebruiken om verschillende beslissingen te nemen over een specifieke gebruiker wanneer de gebruiker niet is aangemeld.

Een toepassing kan deze informatie bijvoorbeeld gebruiken om te bepalen of een gebruiker toegang heeft gekregen tot een resource waarvoor de toepassing toegang beheert. Toepassingen die deze informatie vereisen, kunnen het kenmerk TGGAU rechtstreeks lezen met behulp van Lightweight Directory Access Protocol-interfaces of Active Directory Services-interfaces. Microsoft Windows Server 2003 heeft echter verschillende functies geïntroduceerd (waaronder de functie AuthzInitializeContextFromSid en de functie LsaLogonUser) die het lezen en interpreteren van het kenmerk TGGAU vereenvoudigen. Daarom kunnen toepassingen die gebruikmaken van deze functies onbewust het kenmerk TGGAU lezen.

Toepassingen kunnen dit kenmerk alleen rechtstreeks of indirect lezen (via het gebruik van een API), dan moet aan de beveiligingscontext waarin de toepassing wordt uitgevoerd leestoegang zijn verleend tot het TGGAU-object op de gebruikersobjecten en op de computerobjecten. U verwacht niet dat toepassingen ervan uitgaan dat ze toegang hebben tot TGGAU. Daarom kunt u verwachten dat toepassingen mislukken wanneer de toegang wordt geweigerd. In deze situatie ontvangt u (de gebruiker) mogelijk een foutbericht of een logboekvermelding waarin wordt uitgelegd dat de toegang is geweigerd tijdens het lezen van deze informatie en dat instructies bevat voor het verkrijgen van toegang (zoals verderop in dit artikel wordt beschreven).

Verschillende bestaande toepassingen zijn afhankelijk van de informatie die door TGGAU wordt verstrekt, omdat de informatie standaard beschikbaar is in Microsoft Windows NT 4.0 en in eerdere besturingssystemen. Dus op Microsoft Windows 2000- en Windows Server 2003-besturingssystemen wordt leestoegang tot het kenmerk TGGAU verleend aan de groep Pre-Windows 2000 Compatibele toegang .

Voor domeinen die gebruikmaken van bestaande toepassingen, kunt u deze toepassingen verwerken door de beveiligingscontexten toe te voegen die door deze toepassingen worden uitgevoerd in de groep Pre-Windows 2000 Compatibele toegang . In plaats daarvan kunt u de optie 'Machtigingen compatibel met pre-Windows 2000-servers' selecteren tijdens het DCPromo-proces wanneer u een domein maakt. (Op Windows Server 2003 is deze optie als volgt geformuleerd: 'Machtigingen compatibel met pre-Windows 2000-serverbesturingssystemen'.) Met deze selectie wordt de groep Iedereen toegevoegd aan de groep Pre-Windows 2000 Compatibele toegang en verleent de groep Iedereen leestoegang tot het kenmerk TGGAU en tot vele andere domeinobjecten.

Wanneer een nieuw Windows Server 2003-domein wordt gemaakt, is de standaardselectie voor toegangscompatibiliteit Machtigingen die alleen compatibel zijn met Windows 2000- of Windows Server 2003-besturingssystemen. Wanneer deze optie is ingesteld, bevat de groep Pre-Windows 2000-compatibiliteitstoegang alleen de ingebouwde beveiligings-id voor geverifieerde gebruikers en is de leestoegang tot het kenmerk TGGAU voor objecten beperkt. In dit geval worden toepassingen waarvoor toegang tot de TGGAU-groep is vereist, de toegang geweigerd, tenzij het account waaronder de toepassingen worden uitgevoerd domeinbeheerdersrechten of vergelijkbare gebruikersrechten heeft.

Toepassingen in staat stellen het kenmerk TGGAU te lezen

Ter vereenvoudiging van het proces van het verlenen van leestoegang voor het kenmerk token-groups-global-and-universal (TGGAU) aan gebruikers die het kenmerk moeten lezen, introduceert Windows Server 2003 de GROEP Windows Authorization Access (WAA).

Bij nieuwe installaties van Windows Server 2003-domeinen krijgt de WAA-groep toegang tot het kenmerk gelezen TGGAU voor gebruikersobjecten en groepsobjecten.

Windows 2000-domeinen

Als het domein zich in de pre-Windows 2000-compatibiliteitstoegangsmodus bevindt, heeft de groep Iedereen leestoegang tot het kenmerk TGGAU voor gebruikersaccountobjecten en computeraccountobjecten. In deze modus hebben toepassingen en functies toegang tot TGGAU.

Als het domein zich niet in de pre-Windows 2000-compatibiliteitstoegangsmodus bevindt, moet u mogelijk bepaalde toepassingen inschakelen om de TGGAU te lezen. Omdat de Windows-autorisatietoegangsgroep niet bestaat in Windows 2000, is het raadzaam om voor dit doel een lokale domeingroep te maken en dat u het gebruikers- of computeraccount dat toegang tot het kenmerk TGGAU vereist aan die groep toevoegt. Deze groep moet toegang krijgen tot het tokenGroupsGlobalAndUniversal kenmerk op gebruikersobjecten, op computerobjecten en op iNetOrgPerson objecten.

Domeinen in gemengde modus en geüpgradede domeinen

Wanneer een Windows Server 2003-domeincontroller wordt toegevoegd aan een Windows 2000-domein, wordt de selectie voor toegangscompatibiliteit die eerder was geselecteerd, niet gewijzigd. Dus domeinen en domeinen in de gemengde modus die zijn bijgewerkt naar Windows Server 2003 die zich in de toegangsmodus vóór Windows 2000-compatibiliteit bevonden, blijven de groep Iedereen in de groep Pre-Windows 2000-compatibiliteitstoegang behouden. Bovendien heeft de groep Iedereen nog steeds toegang tot het kenmerk TGGAU. In deze modus hebben toepassingen en functies toegang tot TGGAU.

Als het domein voor gemengde modus zich niet in de compatibiliteitsmodus van vóór Windows 2000 bevindt, kunt u machtigingen verlenen via de WAA-groep:

De WAA-groep wordt automatisch gemaakt wanneer een Windows Server 2003-domeincontroller wordt gepromoveerd naar de Floating Single Master Operations Server.
De WAA-groep krijgt niet automatisch toegang tot het TGGAU-kenmerk voor domeinen met gemengde modus en voor bijgewerkte domeinen.

Nadat de WAA-groep (Windows Authorization Access) toegang heeft tot het kenmerk TGGAU, kunt u de accounts die toegang vereisen in de WAA-groep plaatsen.

Nieuwe Windows Server 2003-domeinen

Als het domein zich niet in de pre-Windows 2000-compatibiliteitstoegangsmodus bevindt, voegt u aan de WAA-groep de accounts toe waarvoor toegang tot TGGAU is vereist. In nieuwe installaties van Windows Server 2003 heeft de WAA-groep al leestoegang tot TGGAU op gebruikersobjecten en op computerobjecten.

Share via