Permissões são afetadas após você rebaixar um controlador de domínio

Traduções deste artigo Traduções deste artigo
ID do artigo: 320230 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Após você rebaixar um controlador de domínio, grupos de domínio local não são usados para fornecer acesso a recursos locais. Observe que esse comportamento aplica-se somente a domínios que estão no modo misto. O grupo ainda pode ser exibido na lista de controle de acesso (ACL). No entanto, ele não pode ser usado para autorização e não pode ser adicionado a qualquer outras ACLs. Quando um usuário cujo acesso foi definido usando um grupo de domínio local tenta usar recursos no servidor rebaixado, o usuário pode receber uma mensagem de erro "acesso negado" (ou mensagens de erro equivalente).

Causa

No modo misto, o escopo do grupo local de domínio é os controladores de domínio. Quando um controlador de domínio é rebaixado, ele ficar fora do escopo deste tipo de grupo. Mesmo que o grupo SID permanece na ACL e pode ser resolvido, elas não podem ser usadas para conceder acesso. O motivo é que o grupo local de domínio não está no token de acesso de usuários que estão conectados computadores membro. Isso ocorre apenas quando o domínio estiver no modo nativo.

Resolução

Para contornar esse comportamento, use qualquer um dos seguintes métodos:
  • Altere o modo de domínio para o modo nativo para expandir o escopo de grupos para todos os membros do domínio. Observe que isso também impede que controladores de domínio de backup 4.0 do Windows NT replicar. No Windows Server 2003, Windows NT 4.0 não tem suporte no nível funcional do Windows 2000. Somente o Windows 2000 e Windows 2003 são suportados no nível funcional do Windows 2000.
    Observação Por padrão, os domínios em um ambiente Windows Server 2003 funcionam o nível funcional misto do Windows 2000. Nesse nível, Windows NT 4.0, Windows 2000 e a família Windows Server 2003 são todos suportados.
  • Criar um novo grupo local (ou o grupo global de domínio) e use a versão de ferramenta de migração do Active Directory 2 para converter as referências do grupo local de domínio para o grupo recém-criado. Você pode fazer isso usando o recurso de conversão de segurança com um arquivo de mapeamento SID. O arquivo de mapeamento SID contém o SID do grupo de domínio local e o SID para o grupo de substituição. A ferramenta de migração do Active Directory pesquisa e o SID antigo pelo novo substitui (ou adiciona).
  • Você pode usar a ferramenta SubInACL do Microsoft Windows NT Resource Kit.

    Para obter mais informações, visite o seguinte site:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en

Situação

Esse comportamento é por design.

Mais Informações

Ao usar o Windows 2000 Server e Windows 2000 Server no modo misto, os limites para grupos de domínio local são os controladores de domínio para o domínio atual. Os grupos locais só podem ser usados para atribuir permissões de sistema de arquivos Windows NT (NTFS) ou compartilhar permissões, por exemplo, em controladores de domínio para o domínio atual.

Quando um controlador de domínio é rebaixado, os SIDs dos grupos locais permanecer nas listas de controle de acesso e ainda pode ser resolvido para seus nomes amigáveis. No entanto, após o rebaixamento, elas não podem ser usadas para autorização. Além disso, eles não podem ser adicionados à permissões de arquivo ou compartilhamento até que o domínio é alternado para o modo nativo.

Alternar o domínio para modo nativo oferece a flexibilidade grupo para adicionar grupos local de domínio para os recursos em controladores de domínio não. Para o Windows 2000, essa regra se aplica para controladores de domínio do Windows 2000 que tenham sido rebaixados e controladores de domínio do Windows NT 4.0 que tenham sido atualizado e esquerda como membro servidores durante o processo de atualização. Para obter informações adicionais sobre grupos de domínio local, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
259392Escopo de grupo de domínio local de modos de operação de domínio do Windows 2000

Propriedades

ID do artigo: 320230 - Última revisão: sexta-feira, 2 de março de 2007 - Revisão: 5.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Advanced Server SP3
Palavras-chave: 
kbmt kbnetwork kbprb kbui KB320230 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 320230

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com