Permissões são afetadas após você rebaixar um controlador de domínio

Após você rebaixar um controlador de domínio, grupos de domínio local não são usados para fornecer acesso a recursos locais. Observe que esse comportamento aplica-se somente a domínios que estão no modo misto. O grupo ainda pode ser exibido na lista de controle de acesso (ACL). No entanto, ele não pode ser usado para autorização e não pode ser adicionado a qualquer outras ACLs. Quando um usuário cujo acesso foi definido usando um grupo de domínio local tenta usar recursos no servidor rebaixado, o usuário pode receber uma mensagem de erro "acesso negado" (ou mensagens de erro equivalente).

No modo misto, o escopo do grupo local de domínio é os controladores de domínio. Quando um controlador de domínio é rebaixado, ele ficar fora do escopo deste tipo de grupo. Mesmo que o grupo SID permanece na ACL e pode ser resolvido, elas não podem ser usadas para conceder acesso. O motivo é que o grupo local de domínio não está no token de acesso de usuários que estão conectados computadores membro. Isso ocorre apenas quando o domínio estiver no modo nativo.

Para contornar esse comportamento, use qualquer um dos seguintes métodos:

• Altere o modo de domínio para o modo nativo para expandir o escopo de grupos para todos os membros do domínio. Observe que isso também impede que controladores de domínio de backup 4.0 do Windows NT replicar. No Windows Server 2003, Windows NT 4.0 não tem suporte no nível funcional do Windows 2000. Somente o Windows 2000 e Windows 2003 são suportados no nível funcional do Windows 2000.
  Observação Por padrão, os domínios em um ambiente Windows Server 2003 funcionam o nível funcional misto do Windows 2000. Nesse nível, Windows NT 4.0, Windows 2000 e a família Windows Server 2003 são todos suportados.
• Criar um novo grupo local (ou o grupo global de domínio) e use a versão de ferramenta de migração do Active Directory 2 para converter as referências do grupo local de domínio para o grupo recém-criado. Você pode fazer isso usando o recurso de conversão de segurança com um arquivo de mapeamento SID. O arquivo de mapeamento SID contém o SID do grupo de domínio local e o SID para o grupo de substituição. A ferramenta de migração do Active Directory pesquisa e o SID antigo pelo novo substitui (ou adiciona).
• Você pode usar a ferramenta SubInACL do Microsoft Windows NT Resource Kit.
  
  Para obter mais informações, visite o seguinte site:
  http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en)

Esse comportamento é por design.

Ao usar o Windows 2000 Server e Windows 2000 Server no modo misto, os limites para grupos de domínio local são os controladores de domínio para o domínio atual. Os grupos locais só podem ser usados para atribuir permissões de sistema de arquivos Windows NT (NTFS) ou compartilhar permissões, por exemplo, em controladores de domínio para o domínio atual.

Quando um controlador de domínio é rebaixado, os SIDs dos grupos locais permanecer nas listas de controle de acesso e ainda pode ser resolvido para seus nomes amigáveis. No entanto, após o rebaixamento, elas não podem ser usadas para autorização. Além disso, eles não podem ser adicionados à permissões de arquivo ou compartilhamento até que o domínio é alternado para o modo nativo.

Alternar o domínio para modo nativo oferece a flexibilidade grupo para adicionar grupos local de domínio para os recursos em controladores de domínio não. Para o Windows 2000, essa regra se aplica para controladores de domínio do Windows 2000 que tenham sido rebaixados e controladores de domínio do Windows NT 4.0 que tenham sido atualizado e esquerda como membro servidores durante o processo de atualização. Para obter informações adicionais sobre grupos de domínio local, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: