Permisos están afectados después de degradar un controlador de dominio

Seleccione idioma Seleccione idioma
Id. de artículo: 320230 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Después de degradar un controlador de dominio, grupos locales de dominio no se utilizan para proporcionar acceso a recursos locales. Tenga en cuenta que este comportamiento sólo se aplica a los dominios que están en modo mixto. El grupo local todavía puede mostrarse en la lista de control de acceso (ACL). Sin embargo, no se puede utilizar para autorización y no puede agregarse a cualquier otras ACL. Cuando un usuario cuyo acceso se ha definido utilizando un grupo local de dominio intenta utilizar recursos en el servidor degradado, el usuario puede recibir un mensaje de error "acceso denegado" (o mensajes de error equivalente).

Causa

En modo mixto, el ámbito del grupo local de dominio es los controladores de dominio. Cuando se degrada un controlador de dominio, esté fuera del ámbito de este tipo de grupo. Aunque el grupo SID permanece en la ACL y se puede resolver, no se puede utilizar para conceder acceso. La razón es que el grupo local de dominio no está en el token de acceso de usuarios que se registran los equipos miembro. Esto sólo ocurre cuando el dominio está en modo nativo.

Solución

Para solucionar este comportamiento, siga cualquiera de los métodos siguientes:
  • Cambiar el modo del dominio a modo nativo para ampliar el ámbito de los grupos a todos los miembros de dominio. Tenga en cuenta que esto también impide controladores de dominio de copia de seguridad 4.0 de Windows NT que se repliquen. En Windows Server 2003, Windows NT 4.0 no es compatible en el nivel funcional de Windows 2000. Sólo Windows 2000 y Windows 2003 son compatibles en el nivel funcional Windows 2000.
    Nota De manera predeterminada, los dominios en un entorno de Windows Server 2003 funcionan en el nivel funcional mixto de Windows 2000. En este nivel, Windows NT 4.0, Windows 2000 y la familia Windows Server 2003 son todos compatibles.
  • Crear un nuevo grupo local (o el grupo global de dominio) y, a continuación, utilizar la herramienta de migración para Active Directory versión 2 para traducir las referencias de grupo local de dominio al grupo recién creado. Puede hacerlo mediante la característica de conversión de seguridad con un archivo de asignación de SID. El archivo de asignación de SID contiene el SID del grupo local de dominio y el SID del grupo de sustitución. La herramienta de migración Active Directory busca y reemplaza el antiguo SID con la nueva (o agrega).
  • Puede utilizar la herramienta Subinacl de Microsoft Windows NT Resource Kit.

    Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en

Estado

Este comportamiento es por diseño.

Más información

Cuando se utiliza Windows 2000 Server y Windows 2000 Advanced Server en modo mixto, los límites de grupos locales de dominio son los controladores de dominio para el dominio actual. Los grupos locales sólo pueden utilizarse para asignar permisos Windows NT File System (NTFS) o compartir permisos, por ejemplo, en controladores de dominio para el dominio actual.

Cuando se degrada un controlador de dominio, los SID de los grupos locales permanecen en las listas de control de acceso y todavía se pueden resolver a sus nombres descriptivos. Sin embargo, tras la degradación no se pueden utilizar para la autorización. Además, no puede agregarse al cualquier archivo o compartir permisos hasta que se cambie el dominio a modo nativo.

Cambiar el dominio a modo nativo ofrece la flexibilidad de grupo para agregar grupos locales de dominio a los recursos de controladores de dominio no. Para Windows 2000, esta regla se aplica a controladores de dominio de Windows 2000 que se han degradado y a los controladores de dominio de Windows NT 4.0 que se han actualizado y izquierdo como miembro de servidores durante el proceso de actualización. Para obtener información adicional acerca de grupos locales de dominio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
259392Ámbito de grupos locales de dominio en modos de operación de dominio de Windows 2000

Propiedades

Id. de artículo: 320230 - Última revisión: viernes, 02 de marzo de 2007 - Versión: 5.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Service Pack 3 de Microsoft Windows 2000
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
Palabras clave: 
kbmt kbnetwork kbprb kbui KB320230 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 320230

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com