As permissões são afectadas depois de se despromover um controlador de domínio

Traduções de Artigos Traduções de Artigos
Artigo: 320230 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Depois de o despromover um controlador de domínio, grupos de domínio local não são utilizados para fornecer acesso a recursos locais. Tenha em atenção que este comportamento só se aplica a domínios em modo misto. O grupo local ainda poderá ser apresentado na lista de controlo de acesso (ACL, Access Control List). No entanto, não pode ser utilizado para autorização e não podem ser adicionado outras ACL. Quando um utilizador cujo acesso tenha sido definido utilizando um grupo local de domínio tenta utilizar recursos no servidor demoted, o utilizador poderá receber uma mensagem de erro "acesso negado" (ou mensagens de erro equivalente).

Causa

No modo misto, o âmbito do grupo local de domínio é os controladores de domínio. Quando um controlador de domínio é despromovido, ficar fora do âmbito deste tipo de grupo. Apesar do grupo SID permanece na ACL e pode ser resolvido, não pode ser utilizadas para conceder acesso. A razão é que o grupo local de domínio não é no token de acesso de utilizadores com sessão iniciada computadores membros. Isto só ocorre quando o domínio está no modo nativo.

Resolução

Para contornar este comportamento, utilize qualquer um dos seguintes métodos:
  • Altere o modo de domínio para modo nativo para expandir o âmbito de grupos para todos os membros do domínio. Tenha em atenção que isto também impede controladores de domínio de cópia de segurança 4.0 do Windows NT de replicação. No Windows Server 2003, Windows NT 4.0 não é suportado o nível de funcionalidade do Windows 2000. Apenas o Windows 2000 e Windows 2003 são suportados ao nível de funcionalidade do Windows 2000.
    Nota Por predefinição, os domínios num ambiente do Windows Server 2003 operam ao Windows 2000 misto nível de funcionalidade. Neste nível, Windows NT 4.0, Windows 2000 e a família Windows Server 2003 são todos suportados.
  • Crie um novo grupo local (ou grupo global do domínio) e utilize a versão da ferramenta de migração do Active Directory 2 para converter as referências de grupo local de domínio para o grupo recém-criado. Pode fazê-lo utilizando a funcionalidade de conversão de segurança com um ficheiro de mapeamento SID. O ficheiro de mapeamento SID contém SID do grupo local de domínio e o SID do grupo de substituição. A ferramenta de migração do Active Directory procura e substitui (ou adiciona) o SID antigo pelo novo.
  • Pode utilizar a ferramenta SubInACL a partir do Microsoft Windows NT Resource Kit.

    Para mais informações, visite o seguinte Web site da Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en

Ponto Da Situação

Este comportamento ocorre por predefinição.

Mais Informação

Quando utiliza o Windows 2000 Server e Windows 2000 Advanced Server no modo misto, os limites para os grupos de domínio local são os controladores de domínio para o domínio actual. Os grupos locais só podem ser utilizados para atribuir permissões de sistema de ficheiros do Windows NT (NTFS) ou permissões de partilha, por exemplo, nos controladores de domínio para o domínio actual.

Quando um controlador de domínio é despromovido, os SID de grupos locais permanecem nas listas de controlo de acesso e ainda pode ser resolvido para os respectivos nomes amigáveis. No entanto, após a despromoção, não podem ser utilizadas para autorização. Também, não é possível ser adicionados às permissões de ficheiro ou partilha até que o domínio é comutado para modo nativo.

Mudar o domínio para modo nativo fornece a flexibilidade de grupo para adicionar grupos de domínio local os recursos em controladores sem domínio. Para o Windows 2000, esta regra aplica-se para controladores de domínio do Windows 2000 que tenham sido despromovidos e a controladores de domínio do Windows NT 4.0 que tenham sido servidores membro actualizado e para a esquerda como durante o processo de actualização. Para obter informações adicionais sobre grupos locais de domínio, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
259392Âmbito de grupo local de domínio em modos de operação de domínio do Windows 2000

Propriedades

Artigo: 320230 - Última revisão: 2 de março de 2007 - Revisão: 5.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
Palavras-chave: 
kbmt kbnetwork kbprb kbui KB320230 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 320230

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com