组策略不应进行筛选按域本地组

文章翻译 文章翻译
文章编号: 309172 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

概要

当用户登录到在不同的域中的工作站上时,都不会应用筛选依据的域本地组的组策略对象。

更多信息

当在 Microsoft Windows NT 4.0 和混合模式域本地组有效时,才在登录到计算机的本地组。 在域控制器 (DC) 上定义的本地组将被复制到域中的所有 dc,因此有效时登录到所有 dc 上。

在登录到域时验证 DC 返回一个包含全局组的安全标识符 (sid) 是用户的登录令牌一个成员,并明确拒绝域控制器上的本地组。本地计算机的本地安全机构 (LSA) 然后检查在登录令牌中的每个 SID,并添加任何相关的本地组的 sid。

Windows 2000 本机的模式中扩展的 dc 定义的本地组的功能提供用户登录到相同域中的计算机上,将返回的 DC 中,该登录标记来指示在域本地组的成员。如果用户登录到另一个域中的计算机上,则不包括域本地组的 sid。

因此,以本机模式域本地组可用于保护在同一个域中的资源。当用户登录到其他的域中的工作站,并尝试访问他或她的家庭域,NT LAN 管理器 (NTLM) 中的资源或 Kerberos 身份验证机制可确保合适的域本地组再次中包含访问检查相关的资源。

但是,这不会扩展到组策略客户端的引擎通过在系统上下文中的 Active Directory 搜索获得适用的组策略对象 (GPO) 的列表,然后访问权限检查每个 GPO 的访问控制列表 (ACL) 对用户的令牌。如果用户没有登录到他或她自己的域中,该标记将不包含域本地组的成员身份,并通过域本地组的组策略的任何筛选将不能按预期效果运行。

因此,如果用户希望登录到树林中的其他域中的计算机上,gpo 不应筛选的域本地组。

属性

文章编号: 309172 - 最后修改: 2013年10月24日 - 修订: 3.2
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
关键字:?
kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 309172
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com