Gruppenrichtlinien sollten nicht von lokalen Domänengruppen gefiltert werden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 309172 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Alles erweitern | Alles schließen

Zusammenfassung

Gefiltert nach Gruppen der lokalen Domäne Gruppenrichtlinienobjekte werden nicht angewendet, wenn ein Benutzer eine Arbeitsstation in einer anderen Domäne anmeldet.

Weitere Informationen

In Microsoft Windows NT 4.0 und Domänen im gemischten Modus sind lokale Gruppen nur wirksam, wenn Sie sich am Computer anmelden, die die lokale Gruppe hostet. Lokale Gruppen, die auf einem Domänencontroller (DC) definiert sind auf alle Domänencontroller in der Domäne repliziert werden und sind daher effektiv, wenn Sie auf alle Domänencontroller anmelden.

Wenn Sie sich an einer Domäne anmelden, der authentifizierende Domänencontroller gibt ein Anmeldung-Token, die globale Gruppe Sicherheitskennungen (SIDs) enthält, für die der Benutzer ist, Mitglied und lokale Gruppen auf den Domänencontrollern explizit ausgeschlossen werden. Den lokalen Computer lokale Sicherheitsautorität (LSA) wird dann überprüft jede SID in die Anmeldetoken und fügt alle entsprechenden lokalen Gruppen-SIDs.

Im einheitlichen Modus Windows 2000 erweitert die Funktionalität von lokalen Gruppen, die auf Domänencontrollern definiert sind Mitgliedschaft in Gruppen der lokalen Domäne wird in der Anmeldung-Token, die von der Domänencontroller zurückgegeben wird angegeben werden, sofern der Benutzer auf einem Computer in derselben Domäne angemeldet ist. Wenn der Benutzer auf einem Computer in einer anderen Domäne protokolliert wird, werden der Gruppe der lokalen Domäne des SIDs nicht berücksichtigt.

Aus diesem Grund können im einheitlichen Modus lokale Gruppen der Domäne verwendet werden um Ressourcen in derselben Domäne zu sichern. Wenn ein Benutzer auf eine Arbeitsstation in einer anderen Domäne anmeldet und versucht, eine Ressource in seinem Basisdomäne, NT LAN Manager (NTLM) zuzugreifen oder Kerberos-Authentifizierungsmechanismus stellt sicher, dass entsprechende domänenlokale Gruppen erneut in Access enthalten sind überprüft, ob die entsprechende Ressource.

Jedoch erweitert nicht diese Gruppenrichtlinie wie das clientseitige Modul über Active Directory-Suchvorgänge in den Systemkontext, eine Liste der entsprechenden Gruppe Richtlinienobjekte (GPO) erhält dann jedes GRUPPENRICHTLINIENOBJEKT Zugriffssteuerungsliste (ACL) für das Token des Benutzers Zugriffsüberprüfungen. Wenn der Benutzer nicht in ein eigenes Domäne angemeldet ist, das Token enthält keine Domäne lokale Gruppenmitgliedschaft und jedes Filtern von Gruppenrichtlinien durch lokale Gruppen der Domäne wird nicht wie erwartet funktionieren.

Wenn Benutzer für die Anmeldung an Computern in anderen Domänen der Gesamtstruktur erwartet werden, sollten daher Gruppenrichtlinienobjekte nicht von lokalen Domänengruppen gefiltert.

Eigenschaften

Artikel-ID: 309172 - Geändert am: Mittwoch, 29. Januar 2014 - Version: 3.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Keywords: 
kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 309172
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com