網域本機群組不應篩選 [群組原則

文章翻譯 文章翻譯
文章編號: 309172 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

結論

當使用者登入不同的網域的工作站時,不會套用群組原則] 物件做為篩選依據網域本機群組。

其他相關資訊

在 Microsoft Windows NT 4.0 和混合模式網域,本機群組是只有效當您登入主控本機群組的電腦。 在網域控制站 (DC) 定義的本機群組會被複寫到該網域中的所有 DC,因此有效登入所有 DC 時。

當您登入網域時,驗證的 DC 傳回登入的語彙基元 (Token) 包含通用群組安全性識別碼 (SID) 使用者是一個成員,並在網域控制站上的本機群組被特別排除。本機電腦的本機安全性授權 (LSA) 然後會檢查登入語彙基元中的每個 SID,並將任何相關的本機群組的 SID。

在原生模式 Windows 2000 延伸功能的 DC 定義的本機群組中的網域本機群組的成員資格會指出會傳回由該網域的登入語彙基元中,提供使用者登入在相同網域中的某台電腦。如果使用者登入在另一個網域中的某台電腦,網域本機群組的 SID 不會包含的。

有鑑於此,在原生模式網域本機群組可用來保護同一個網域中的資源。當使用者登入到另一個網域中的工作站,並嘗試存取他 / 她主網域,NT LAN 管理員 (NTLM) 中的資源或 Kerberos 驗證機制可確保適當的網域本機群組一次包含在存取檢查有相關的資源。

不過,這不會延伸到群組原則為用戶端引擎會透過 Active Directory 搜尋系統] 內容中取得一份適用的群組原則物件 (GPO) 然後存取會檢查每一個 GPO 的 [存取控制清單 (ACL)] 對使用者的權杖。如果使用者未登入他或她自己網域,語彙基元,將不能包含網域本機群組成員資格,且任何由網域本機群組的群組原則的篩選將會無法如預期般運作。

因此,如果預期使用者登入樹系中其他網域中電腦,GPO 應不篩選由網域本機群組。

屬性

文章編號: 309172 - 上次校閱: 2013年10月24日 - 版次: 3.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:309172
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com