Izin dipengaruhi setelah Anda Demote kontroler Domain

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 320230 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

GEJALA

Setelah Anda demote kontroler domain, domain kelompok-kelompok lokal tidak digunakan untuk menyediakan akses ke sumber daya lokal. Perhatikan bahwa perilaku ini hanya berlaku untuk domain yang berada dalam modus campuran. Kelompok lokal mungkin masih ditampilkan dalam daftar kontrol akses (ACL). Namun, itu tidak dapat digunakan untuk otorisasi, dan tidak dapat ditambahkan ke ACLs lain. Ketika pengguna memiliki akses telah ditetapkan dengan menggunakan domain lokal kelompok mencoba untuk menggunakan sumber daya pada diturunkan server, pengguna akan menerima pesan galat "akses ditolak" (atau pesan galat yang setara).

PENYEBAB

Dalam modus campuran, lingkup domain lokal group adalah kontroler domain. Ketika kontroler domain diturunkan, itu jatuh dari lingkup tipe grup ini. Meskipun grup SID tetap di ACL dan dapat diselesaikan, mereka tidak digunakan untuk pemberian akses. Alasannya adalah bahwa domain lokal group bukanlah tanda akses pengguna yang akan dicatat ke anggota komputer. Hal ini hanya terjadi ketika domain adalah dalam mode asli.

PEMECAHAN MASALAH

Untuk mengatasi perilaku ini, gunakan salah satu dari berikut metode:
  • Mengubah domain mode ke mode asli untuk memperluas ruang lingkup kelompok-kelompok untuk semua anggota domain. Catatan bahwa ini juga mencegah Windows NT 4.0 kontroler backup domain dari mereplikasi. Pada Windows Server 2003, Windows NT 4.0 tidak didukung di Windows 2000 tingkatan fungsional. Hanya Windows 2000 dan Windows 2003 didukung di Windows 2000 tingkat fungsional.
    Catatan Secara default, domain dalam lingkungan Windows Server 2003 yang beroperasi pada Windows 2000 dicampur tingkatan fungsional. Pada tingkat ini, Windows NT 4.0, Windows 2000, dan Windows Server 2003 keluarga adalah semua didukung.
  • Membuat grup lokal baru (atau domain global group), dan kemudian menggunakan versi alat migrasi direktori aktif 2 untuk menerjemahkan referensi dari domain lokal kelompok baru dibuat grup. Anda dapat melakukannya dengan menggunakan fitur keamanan terjemahan dengan file pemetaan SID. File pemetaan SID berisi SID dari domain lokal group dan SID untuk penggantian kelompok. Active Directory migrasi alat pencarian dan menggantikan (atau menambah) SID lama dengan yang baru.
  • Anda dapat menggunakan alat Subinacl dari Microsoft Windows NT Kit sumber daya.

    Untuk informasi selengkapnya, kunjungi situs Web Microsoft berikut ini:
    http://www.Microsoft.com/downloads/details.aspx?FamilyID = e8ba3e56-d8fe-4a91-93cf-ed6985e3927b & displaylang = en

STATUS

Ini adalah aktivitas.

INFORMASI LEBIH LANJUT

Ketika Anda menggunakan Windows 2000 Server dan Windows 2000 Advanced Server dalam modus campuran, batas-batas untuk kelompok-kelompok lokal domain adalah domain kontroler domain saat ini. Kelompok-kelompok lokal hanya dapat digunakan untuk menetapkan Sistem File Windows NT (NTFS) izin atau izin berbagi, misalnya, di pengontrol domain untuk domain saat ini.

Ketika kontroler domain adalah diturunkan, SIDs kelompok-kelompok lokal yang tetap dalam daftar kontrol akses, dan masih dapat diselesaikan untuk nama mereka ramah. Namun, setelah penurunan pangkat, mereka tidak dapat digunakan untuk otorisasi. Juga, mereka tidak dapat ditambahkan ke salah satu izin file atau berbagi sampai domain beralih ke asli modus.

Beralih domain ke modus asli menyediakan kelompok fleksibilitas untuk menambahkan domain lokal grup ke sumber daya pada non-domain controller. Untuk Windows 2000, aturan ini berlaku untuk domain Windows 2000 controller yang telah diturunkan dan untuk pengontrol domain Windows NT 4.0 yang telah ditingkatkan dan meninggalkan sebagai anggota server selama proses upgrade. Untuk informasi tambahan tentang kelompok-kelompok lokal domain, klik nomor artikel di bawah ini untuk melihat artikel di Basis Pengetahuan Microsoft:
259392 Domain lokal Group cakupan dalam modus operasi Windows 2000 Domain

Properti

ID Artikel: 320230 - Kajian Terakhir: 26 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Kata kunci: 
kbnetwork kbprb kbui kbmt KB320230 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:320230

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com