Zásady skupiny není měli filtrované podle místní doménové skupiny

Překlady článku Překlady článku
ID článku: 309172 - Produkty, které se vztahují k tomuto článku.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Objekty Zásady skupiny filtrována podle místních skupin domény nejsou použity při přihlášení uživatele k pracovní stanici v jiné doméně.

Další informace

V systému Microsoft Windows NT 4.0 a domény s kombinovaným režimem místní skupiny platí pouze při přihlášení k počítači hostícímu místní skupiny. Místní skupiny, které jsou definovány v řadiči domény (DC) jsou replikovány do všech řadičů domény v doméně a proto jsou účinné při přihlášení k všechny řadiče domén.

Při přihlášení k doméně ověřující DC vrátí přihlašovací token, který obsahuje identifikátory zabezpečení globální skupiny (SID) pro které je uživatel členem a místních skupin řadiče domény jsou konkrétně vyloučeny. Místní počítač místního úřadu zabezpečení (LSA) pak zkontroluje každé SID token přihlášení a přidá všechny příslušné místní skupiny SID.

V nativním režimu systému Windows 2000 rozšiřuje funkce místních skupin, které jsou definovány na řadiče domén. členství v místních skupinách domény bude označen v tokenu přihlášení, která je vrácena DC, za předpokladu přihlášení uživatele k počítači ve stejné doméně. Pokud se uživatel přihlašuje k počítači v jiné doméně, nejsou zahrnuty SID místní skupiny domény.

Z tohoto důvodu v nativním režimu místní skupiny domény lze zabezpečit prostředky ve stejné doméně. Když uživatel přihlásí k pracovní stanici v jiné doméně a pokusy o přístup k prostředku v jeho domovské doméně, NT LAN Manager (NTLM) nebo mechanismus ověřování Kerberos zajišťuje místní skupiny příslušné domény jsou zahrnuty znovu v přístup zkontroluje příslušný zdroj.

Však tento nerozšiřuje zásady skupiny jako modul klienta získá seznam objektů zásad příslušné skupiny (GPO) prostřednictvím Active Directory, hledání v kontextu systému pak aplikace access zkontroluje každou GPO ovládací seznam přístupu (ACL) proti tokenu uživatele. Pokud uživatel není přihlášen do domény nebo vlastní, tokenu nebude obsahovat členství místní skupiny domény a jakékoli filtrování zásad skupiny podle místních skupin domény nebude fungovat očekávaným způsobem.

Proto pokud očekávaný uživatelům přihlásit se k počítačům v jiných doménách v doménové struktuře GPO měli není filtrován podle místních skupin domény.

Vlastnosti

ID článku: 309172 - Poslední aktualizace: 10. února 2014 - Revize: 3.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Klíčová slova: 
kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:309172

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com