Einstellung primäre Gruppe schließt den Benutzer aus der Gruppenmitgliedschaft in Active Directory

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 275523 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Beim Anzeigen von Active Directory mit einem (LIGHTWEIGHT Directory Access Protocol) wie Ldp.exe ist das Attribut Elemente nicht mit der primären Gruppe aufgefüllt.

Das Memberof-Attribut des Benutzerobjekts ist nicht mit dem Gruppennamen gefüllt. Dies kann zu Problemen führen, wenn Programme nicht Active Directory für das PrimaryGroupID-Attribut und nur für die Attribut Mitglieder der Gruppe Abfragen.

Ursache

Dieses Verhalten tritt auf, weil Microsoft Windows 2000 Gruppenmitgliedschaft nur maximal 5.000 Benutzer. Dieses Verhalten ist aufgrund von einer Beschränkung der Größe des Attributs, das repliziert wird. Die primäre Gruppe ermöglicht eine Gruppe pro Benutzer mehr als 5000 Benutzer enthalten soll. Standardmäßig ist jeder Benutzer ein Mitglied der Gruppe Domänen-Benutzer.

Microsoft Windows Server 2003-Gesamtstruktur Modus entfernt diese Gruppenmitgliedschaft Einschränkung. Jedoch ist die primäre Gruppe auf die gleiche Weise verwendet.

Lösung

Erstellen Sie ein separates Attribut PrimaryGroupID aufgerufen, um dieses Verhalten zu beheben. Wenn Sie dies tun, können alle Benutzer ein Mitglied der globalen Gruppe "Domänenbenutzer", aber anstatt explizit zu der Gruppenmitgliedschaft Domänenbenutzer hinzuzufügen, weisen Sie dem Benutzer einen Wert für diese Gruppe in der PrimaryGroupID-Wert. Der Wert PrimaryGroupID ist die RID der Gruppe als primäre Gruppe des Benutzers zugewiesen ist.
Um sicherstellen, dass der Benutzer den entsprechenden Zugriff auf Ressourcen in der Domäne verfügt, berechnen Sie nicht nur Gruppenmitgliedschaft basierend auf dem Memberof-Attribut Sie Abfragen, auch den Wert für die PrimaryGroupID der Benutzerkonten. Wenn Sie dies tun, Sie erstellen Token des Benutzers und die primäre Gruppe an den Prozess-Anmeldung für alle Gruppen, von denen der Benutzer Mitglied ist.

Programme, die Abfrage Gruppen, benötigen um Benutzern Zugriff gewähren, die auf Gruppenmitgliedschaften basieren sollte auch für das Attribut PrimaryGroupID Abfragen.

Wenn mehr als 5000 Benutzer zu einer Gruppe hinzugefügt werden müssen, können Sie umgehen die 5000-Member-Einschränkung für Gruppen, indem Sie verschachtelte Gruppen unter einer Gruppe Master (übergeordneten).

Weitere Informationen

Der primäre GRUPPENKENNUNG (PrimaryGroupID) ist ein Ganzzahlwert, der die primäre GRUPPENKENNUNG für diesen Benutzer darstellt.

Das folgende Beispiel beschreibt, wie Sie das PrimaryGroupID-Benutzer-Attribut mit Microsoft Visual Basic-Skript erhalten:
   Set usr = GetObject("WinNT://TestDomain/JSmith")
   UserID = usr.Get("PrimaryGroupID")
   MsgBox "The User's Primary Group ID is:"& UserID
				

Eigenschaften

Artikel-ID: 275523 - Geändert am: Donnerstag, 11. Oktober 2007 - Version: 3.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Keywords: 
kbmt kbenv kbprb KB275523 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 275523
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com