Directiva de grupo no se debe filtrar por grupos locales de dominio

Seleccione idioma Seleccione idioma
Id. de artículo: 309172 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

Resumen

Objetos de directiva de grupo filtrados por grupos locales de dominio no se aplican cuando un usuario inicia sesión en una estación de trabajo en un dominio diferente.

Más información

En Microsoft Windows NT 4.0 y dominios de modo mixto, los grupos locales sólo son eficaces cuando inicia sesión en el equipo que aloja el grupo local. Grupos locales que se definen en un controlador de dominio (DC) se replican en todos los DC del dominio y, por lo tanto, son eficaces cuando inicia sesión en todos los DC.

Cuando inicia sesión en un dominio, el controlador de autenticación devuelve un token de inicio de sesión que contiene identificadores de seguridad de grupo global (SID) para que el usuario es un miembro y grupos locales en los controladores de dominio se excluyen específicamente. Autoridad de seguridad local (LSA) del equipo local, a continuación, comprueba a cada SID en el símbolo de inicio de sesión y agrega cualquier SID de grupo local correspondiente.

En modo nativo, Windows 2000 amplía la funcionalidad de grupos locales que se definen en DC. pertenencia a grupos locales de dominio se indicará en el token de inicio de sesión que es devuelto por el controlador de dominio, siempre que el usuario inicia sesión en un equipo en el mismo dominio. Si el usuario inicia sesión en un equipo de otro dominio, no se incluyen los SID del grupo local de dominio.

A causa de esto, en modo nativo grupos locales de dominio pueden utilizarse para proteger los recursos en el mismo dominio. Cuando un usuario inicia sesión en una estación de trabajo en otro dominio y intenta obtener acceso a un recurso en su dominio principal, de NT LAN Manager (NTLM) o mecanismo de autenticación de Kerberos garantiza que grupos locales de dominio adecuado nuevo son incluidos en acceso busca el recurso correspondiente.

Sin embargo, esto no se extiende a directiva de grupo como el motor de lado del cliente obtiene una lista de objetos de directiva de grupo aplicable (GPO) a través de búsquedas en Active Directory en el contexto del sistema, a continuación, lista de control de acceso de (ACL del cada objeto de directiva de grupo) contra el testigo del usuario comprobaciones de acceso. Si el usuario no se ha iniciado sesión en su propio dominio, el símbolo (token) no contendrá la pertenencia al grupo local de dominio, y cualquier filtrado de directiva de grupo mediante grupos locales de dominio no funcionará como se esperaba.

Por lo tanto, si se esperan que los usuarios para iniciar sesión en equipos de otros dominios del bosque, no se deben filtrar GPO por grupos locales de dominio.

Propiedades

Id. de artículo: 309172 - Última revisión: sábado, 01 de febrero de 2014 - Versión: 3.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 309172

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com