As permissões são afectadas depois de se despromover um controlador de domínio

Depois de o despromover um controlador de domínio, grupos de domínio local não são utilizados para fornecer acesso a recursos locais. Tenha em atenção que este comportamento só se aplica a domínios em modo misto. O grupo local ainda poderá ser apresentado na lista de controlo de acesso (ACL, Access Control List). No entanto, não pode ser utilizado para autorização e não podem ser adicionado outras ACL. Quando um utilizador cujo acesso tenha sido definido utilizando um grupo local de domínio tenta utilizar recursos no servidor demoted, o utilizador poderá receber uma mensagem de erro "acesso negado" (ou mensagens de erro equivalente).

No modo misto, o âmbito do grupo local de domínio é os controladores de domínio. Quando um controlador de domínio é despromovido, ficar fora do âmbito deste tipo de grupo. Apesar do grupo SID permanece na ACL e pode ser resolvido, não pode ser utilizadas para conceder acesso. A razão é que o grupo local de domínio não é no token de acesso de utilizadores com sessão iniciada computadores membros. Isto só ocorre quando o domínio está no modo nativo.

Para contornar este comportamento, utilize qualquer um dos seguintes métodos:

• Altere o modo de domínio para modo nativo para expandir o âmbito de grupos para todos os membros do domínio. Tenha em atenção que isto também impede controladores de domínio de cópia de segurança 4.0 do Windows NT de replicação. No Windows Server 2003, Windows NT 4.0 não é suportado o nível de funcionalidade do Windows 2000. Apenas o Windows 2000 e Windows 2003 são suportados ao nível de funcionalidade do Windows 2000.
  Nota Por predefinição, os domínios num ambiente do Windows Server 2003 operam ao Windows 2000 misto nível de funcionalidade. Neste nível, Windows NT 4.0, Windows 2000 e a família Windows Server 2003 são todos suportados.
• Crie um novo grupo local (ou grupo global do domínio) e utilize a versão da ferramenta de migração do Active Directory 2 para converter as referências de grupo local de domínio para o grupo recém-criado. Pode fazê-lo utilizando a funcionalidade de conversão de segurança com um ficheiro de mapeamento SID. O ficheiro de mapeamento SID contém SID do grupo local de domínio e o SID do grupo de substituição. A ferramenta de migração do Active Directory procura e substitui (ou adiciona) o SID antigo pelo novo.
• Pode utilizar a ferramenta SubInACL a partir do Microsoft Windows NT Resource Kit.
  
  Para mais informações, visite o seguinte Web site da Microsoft:
  http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en)

Este comportamento ocorre por predefinição.

Quando utiliza o Windows 2000 Server e Windows 2000 Advanced Server no modo misto, os limites para os grupos de domínio local são os controladores de domínio para o domínio actual. Os grupos locais só podem ser utilizados para atribuir permissões de sistema de ficheiros do Windows NT (NTFS) ou permissões de partilha, por exemplo, nos controladores de domínio para o domínio actual.

Quando um controlador de domínio é despromovido, os SID de grupos locais permanecem nas listas de controlo de acesso e ainda pode ser resolvido para os respectivos nomes amigáveis. No entanto, após a despromoção, não podem ser utilizadas para autorização. Também, não é possível ser adicionados às permissões de ficheiro ou partilha até que o domínio é comutado para modo nativo.

Mudar o domínio para modo nativo fornece a flexibilidade de grupo para adicionar grupos de domínio local os recursos em controladores sem domínio. Para o Windows 2000, esta regra aplica-se para controladores de domínio do Windows 2000 que tenham sido despromovidos e a controladores de domínio do Windows NT 4.0 que tenham sido servidores membro actualizado e para a esquerda como durante o processo de actualização. Para obter informações adicionais sobre grupos locais de domínio, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft: