Autorisations sont affectées après que vous rétrogradation d'un contrôleur de domaine

Après avoir rétrogradé un contrôleur de domaine, les groupes locaux de domaine ne sont pas utilisés pour fournir un accès aux ressources locales. Notez que ce comportement s'applique uniquement aux domaines qui sont en mode mixte. Le groupe local peut toujours être affiché dans la liste de contrôle d'accès (ACL). Toutefois, il ne peut pas être utilisé pour l'autorisation et Impossible d'ajouter les listes ACL. Lorsqu'un utilisateur dont l'accès est définie à l'aide d'un groupe local de domaine tente d'utiliser des ressources sur le serveur rétrogradé, l'utilisateur peut s'afficher une message d'erreur « Accès refusé » (ou messages d'erreur équivalent).

En mode mixte, la portée du groupe local du domaine est les contrôleurs de domaine. Lorsqu'un contrôleur de domaine rétrogradé, il est hors de la portée de ce type de groupe. Même si le groupe de SID reste dans la liste de contrôle d'accès et peut être résolu, ils ne peuvent pas être utilisés pour accorder l'accès. La raison est que le groupe local de domaine n'est pas dans le jeton d'accès des utilisateurs qui sont connectés à des ordinateurs membres. Cela se produit uniquement lorsque le domaine est en mode natif.

Pour contourner ce problème, utilisez l'une des méthodes suivantes :

• Modifier le mode de domaine en mode natif pour développer la portée des groupes à tous les membres de domaine. Notez que cela empêche également contrôleurs de domaine de sauvegarde 4.0 Windows NT réplication. Dans Windows Server 2003, Windows NT 4.0 n'est pas prise en charge par le niveau fonctionnel de Windows 2000. Uniquement Windows 2000 et Windows 2003 sont pris en charge au niveau fonctionnel Windows 2000.
  note Par défaut, les domaines dans un environnement Windows Server 2003 fonctionnent aux mixte niveau fonctionnel de Windows 2000. À ce niveau, Windows NT 4.0, Windows 2000 et la famille Windows Server 2003 sont pris en tout charge.
• Créez un nouveau groupe local (ou un groupe global de domaine) et utiliser ensuite la version d'outil Active Directory Migration 2 pour traduire des références du groupe local de domaine pour le groupe nouvellement créé. Vous pouvez le faire Aide de la fonctionnalité Conversion de la sécurité avec un fichier de mappage de SID. Le fichier de mappage SID contient le SID du groupe local de domaine et le SID pour le groupe de remplacement. L'outil Active Directory Migration recherche et le SID par le nouveau ancien remplace (ou ajoute).
• Vous pouvez utiliser l'outil subinacl à partir de Microsoft Windows NT Kit de ressources.
  
  Pour plus d'informations, reportez-vous au site de Web Microsoft suivant :
  http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en)

Ce comportement est voulu par la conception même du produit.

Lorsque vous utilisez Windows 2000 Server et Windows 2000 Advanced Server en mode mixte, les limites pour les groupes locaux de domaine sont les contrôleurs de domaine pour le domaine actuel. Les groupes locaux uniquement utilisable pour affecter des autorisations Windows NT File System (NTFS) ou partager des autorisations, par exemple, sur les contrôleurs de domaine pour le domaine actuel.

Lorsqu'un contrôleur de domaine rétrogradé, les SID des groupes locaux de rester dans les listes de contrôle d'accès et peut toujours être résolu avec leur nom convivial. Toutefois, après la rétrogradation, ils ne peuvent pas être utilisés pour l'autorisation. En outre, ils Impossible d'ajouter à un fichier ou partagent des autorisations jusqu'à ce que le domaine est basculé en mode natif.

Basculer le domaine vers le mode natif offre la flexibilité de groupe pour ajouter des domaine local groupes aux ressources sur les contrôleurs de domaine non. Pour Windows 2000, cette règle s'applique aux contrôleurs de domaine Windows 2000 qui ont été rétrogradés et aux contrôleurs de domaine Windows NT 4.0 qui ont été serveurs membres mis à jour et de gauche en tant que pendant le processus de mise à niveau. Pour plus d'informations sur les groupes locaux de domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :