Izin dipengaruhi setelah Anda Demote kontroler Domain

Setelah Anda demote kontroler domain, domain kelompok-kelompok lokal tidak digunakan untuk menyediakan akses ke sumber daya lokal. Perhatikan bahwa perilaku ini hanya berlaku untuk domain yang berada dalam modus campuran. Kelompok lokal mungkin masih ditampilkan dalam daftar kontrol akses (ACL). Namun, itu tidak dapat digunakan untuk otorisasi, dan tidak dapat ditambahkan ke ACLs lain. Ketika pengguna memiliki akses telah ditetapkan dengan menggunakan domain lokal kelompok mencoba untuk menggunakan sumber daya pada diturunkan server, pengguna akan menerima pesan galat "akses ditolak" (atau pesan galat yang setara).

Dalam modus campuran, lingkup domain lokal group adalah kontroler domain. Ketika kontroler domain diturunkan, itu jatuh dari lingkup tipe grup ini. Meskipun grup SID tetap di ACL dan dapat diselesaikan, mereka tidak digunakan untuk pemberian akses. Alasannya adalah bahwa domain lokal group bukanlah tanda akses pengguna yang akan dicatat ke anggota komputer. Hal ini hanya terjadi ketika domain adalah dalam mode asli.

Untuk mengatasi perilaku ini, gunakan salah satu dari berikut metode:

• Mengubah domain mode ke mode asli untuk memperluas ruang lingkup kelompok-kelompok untuk semua anggota domain. Catatan bahwa ini juga mencegah Windows NT 4.0 kontroler backup domain dari mereplikasi. Pada Windows Server 2003, Windows NT 4.0 tidak didukung di Windows 2000 tingkatan fungsional. Hanya Windows 2000 dan Windows 2003 didukung di Windows 2000 tingkat fungsional.
  Catatan Secara default, domain dalam lingkungan Windows Server 2003 yang beroperasi pada Windows 2000 dicampur tingkatan fungsional. Pada tingkat ini, Windows NT 4.0, Windows 2000, dan Windows Server 2003 keluarga adalah semua didukung.
• Membuat grup lokal baru (atau domain global group), dan kemudian menggunakan versi alat migrasi direktori aktif 2 untuk menerjemahkan referensi dari domain lokal kelompok baru dibuat grup. Anda dapat melakukannya dengan menggunakan fitur keamanan terjemahan dengan file pemetaan SID. File pemetaan SID berisi SID dari domain lokal group dan SID untuk penggantian kelompok. Active Directory migrasi alat pencarian dan menggantikan (atau menambah) SID lama dengan yang baru.
• Anda dapat menggunakan alat Subinacl dari Microsoft Windows NT Kit sumber daya.
  
  Untuk informasi selengkapnya, kunjungi situs Web Microsoft berikut ini:
  http://www.Microsoft.com/downloads/details.aspx?FamilyID = e8ba3e56-d8fe-4a91-93cf-ed6985e3927b & displaylang = en (http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en)

Ini adalah aktivitas.

Ketika Anda menggunakan Windows 2000 Server dan Windows 2000 Advanced Server dalam modus campuran, batas-batas untuk kelompok-kelompok lokal domain adalah domain kontroler domain saat ini. Kelompok-kelompok lokal hanya dapat digunakan untuk menetapkan Sistem File Windows NT (NTFS) izin atau izin berbagi, misalnya, di pengontrol domain untuk domain saat ini.

Ketika kontroler domain adalah diturunkan, SIDs kelompok-kelompok lokal yang tetap dalam daftar kontrol akses, dan masih dapat diselesaikan untuk nama mereka ramah. Namun, setelah penurunan pangkat, mereka tidak dapat digunakan untuk otorisasi. Juga, mereka tidak dapat ditambahkan ke salah satu izin file atau berbagi sampai domain beralih ke asli modus.

Beralih domain ke modus asli menyediakan kelompok fleksibilitas untuk menambahkan domain lokal grup ke sumber daya pada non-domain controller. Untuk Windows 2000, aturan ini berlaku untuk domain Windows 2000 controller yang telah diturunkan dan untuk pengontrol domain Windows NT 4.0 yang telah ditingkatkan dan meninggalkan sebagai anggota server selama proses upgrade. Untuk informasi tambahan tentang kelompok-kelompok lokal domain, klik nomor artikel di bawah ini untuk melihat artikel di Basis Pengetahuan Microsoft: