Grupo principal de configuración evita que el usuario la pertenencia al grupo en Active Directory

Seleccione idioma Seleccione idioma
Id. de artículo: 275523 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Cuando Ver Active Directory con una utilidad de Protocolo ligero de acceso a directorios (LDAP), como LDP.exe, el atributo de miembros no se rellena con el grupo principal.

El atributo memberof del objeto usuario no se rellena con el nombre del grupo. Esto puede causar problemas si programas no consultar Active Directory para el atributo PrimaryGroupID y sólo para el atributo de miembros del grupo.

Causa

Este comportamiento se produce porque Microsoft Windows 2000 tiene una limitación de pertenencia a grupo de 5000 usuarios. Este comportamiento es debido a una limitación en el tamaño del atributo que se replica. El grupo principal permite a un grupo por usuario para que contenga más de 5000 usuarios. De forma predeterminada, cada usuario es un miembro del grupo usuarios del dominio.

El modo de bosque de Microsoft Windows Server 2003 elimina esta limitación de pertenencia a grupo. Sin embargo, el grupo principal todavía se utiliza en la misma manera.

Solución

Para resolver este comportamiento, cree un atributo independiente denominado PrimaryGroupID. Al hacerlo, todos los usuarios puede ser un miembro del grupo global usuarios de dominio, pero en lugar de forma explícita los agregar a la pertenencia de usuarios del dominio, asignar al usuario un valor para este grupo en el valor de PrimaryGroupID. El valor de PrimaryGroupID es el RID del grupo que se asigna como grupo principal del usuario.
Para asegurarse de que el usuario tiene el acceso apropiado a los recursos en el dominio, no sólo calcular pertenencia basada en el atributo memberof, también de consultar el valor de PrimaryGroupID de las cuentas de usuario. Cuando hace esto, cree token del usuario y, incluir el grupo principal en el proceso de inicio de sesión para todos los grupos de que el usuario es un miembro.

También deben consultar programas que necesitan para grupos de consulta para dar acceso basado en la pertenencia a grupos de usuarios para el atributo PrimaryGroupID.

Si más de 5000 usuarios necesitan agregarse a un grupo, evitar la limitación de miembro de 5000 para grupos utilizando grupos anidados bajo un grupo principal (principal).

Más información

El principal identificador de grupo (PrimaryGroupID) es un valor de entero que representa el identificador de grupo primario para este usuario.

En el ejemplo siguiente se describe cómo obtener el atributo de usuario PrimaryGroupID mediante secuencia de comandos de Microsoft Visual Basic (VB):
   Set usr = GetObject("WinNT://TestDomain/JSmith")
   UserID = usr.Get("PrimaryGroupID")
   MsgBox "The User's Primary Group ID is:"& UserID
				

Propiedades

Id. de artículo: 275523 - Última revisión: jueves, 11 de octubre de 2007 - Versión: 3.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palabras clave: 
kbmt kbenv kbprb KB275523 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 275523

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com