Berechtigungen betroffen sind, nachdem Sie einen Domänencontroller herabstufen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 320230 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Nachdem Sie einen Domänencontroller herabstufen, werden domänenlokale Gruppen nicht für den Zugriff auf lokale Ressourcen verwendet. Beachten Sie, dass dieses Verhalten nur für Domänen gilt, die im gemischten Modus. Die lokale Gruppe möglicherweise weiterhin in der Zugriffssteuerungsliste (ACL) angezeigt. Allerdings kann nicht für die Autorisierung verwendet werden und kann andere ACLs nicht hinzugefügt werden. Wenn ein Benutzer, deren Zugriff definiert wurde, mithilfe einer Gruppe der lokalen Domäne, versucht, Ressourcen auf den herabgestuften Server zu verwenden, kann der Benutzer eine "Zugriff verweigert" Fehlermeldung (oder entsprechende Fehlermeldungen) empfangen.

Ursache

Im gemischten Modus ist der Gültigkeitsbereich der lokalen Domänengruppe die Domänencontroller. Wenn ein Domänencontroller herabgestuft wird, fällt es außerhalb des Bereichs dieses Typs Gruppe. Obwohl die Gruppe SID in der ACL verbleibt und aufgelöst werden kann, können nicht Sie für den Zugriff verwendet werden. Der Grund dafür ist, dass die Gruppe der lokalen Domäne nicht im Zugriffstoken der Benutzer, die Mitgliedscomputer angemeldet sind. Dieses Problem tritt nur wenn sich die Domäne im einheitlichen Modus befindet.

Lösung

Um dieses Verhalten zu umgehen, verwenden Sie eine der folgenden Methoden:
  • Ändern Sie den Domänenmodus in den einheitlichen Modus um den Bereich der Gruppen auf alle Domänenmitglieder zu erweitern. Beachten Sie, dass dies auch Windows NT 4.0 Sicherungs-Domänencontroller replizieren verhindert. In Windows Server 2003, Windows NT 4.0 ist in der Windows 2000-Funktionsebene nicht unterstützt. Nur Windows 2000 und Windows 2003 auf der Funktionsebene Windows 2000 unterstützt werden.
    Hinweis: Standardmäßig verwenden Domänen in einer Windows Server 2003-Umgebung auf der gemischten Domänenfunktionsebene Windows 2000. Auf dieser Ebene werden Windows NT 4.0, Windows 2000 und Windows Server 2003-Produktfamilie alle unterstützt.
  • Erstellen Sie eine neue lokale Gruppe (oder globale Gruppe der Domäne), und verwenden Sie dann Active Directory Migration Toolversion 2, um die Verweise auf die neu erstellte Gruppe aus der Gruppe der lokalen Domäne zu übersetzen. Dazu können Sie mit der Sicherheitskonvertierung mit einer SID-Zuordnungsdatei. Die SID-Zuordnungsdatei enthält die SID aus der Gruppe der lokalen Domäne und die SID für die Ersatz-Gruppe. Das Active Directory Migration-Tool durchsucht, und die alte SID durch den neuen ersetzt (oder hinzugefügt).
  • Sie können das SubInACL-Tool von Windows NT verwenden Resource Kit.

    Weitere Informationen der folgenden Microsoft-Website:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en

Status

Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Weitere Informationen

Wenn Sie Windows 2000 Server und Windows 2000 Advanced Server im gemischten Modus verwenden, sind die Grenzen für lokale Gruppen der Domäne die Domänencontroller für die aktuelle Domäne. Die lokalen Gruppen können nur verwendet werden, weisen Windows NT File System (NTFS) Berechtigungen oder Berechtigungen, z. B. auf Domänencontrollern für die aktuelle Domäne freigeben.

Wenn ein Domänencontroller herabgestuft wird, wird die SIDs der lokalen Gruppen in der Access Control Lists verbleiben, und können weiterhin in Ihren Anzeigenamen aufgelöst werden. Allerdings können nicht nach der Herabstufung Sie für die Autorisierung verwendet werden. Sie können außerdem entweder Datei hinzugefügt werden oder Berechtigungen freigeben, bis die Domäne in den einheitlichen Modus umgeschaltet wurde.

Wechseln der Domäne zu einheitlichen Modus bietet Flexibilität Gruppe Gruppen der lokalen Domäne die Ressourcen auf nicht-Domänencontroller hinzu. Für Windows 2000 wird diese Regel auf Windows 2000-Domänencontroller, die herabgestuft wurde haben und auf Windows NT 4.0-Domänencontroller, die aktualisierten und links als Mitgliedsserver während der Aktualisierung wurden angewendet. Weitere Informationen, lokale Gruppen der Domäne folgendem Artikel der Microsoft Knowledge Base:
259392Gruppe der lokalen Domäne Bereich im Windows 2000 Vorgang Domänenmodi

Eigenschaften

Artikel-ID: 320230 - Geändert am: Freitag, 2. März 2007 - Version: 5.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
Keywords: 
kbmt kbnetwork kbprb kbui KB320230 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 320230
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com