Понижение роли контроллера домена влияет разрешения

Переводы статьи Переводы статьи
Код статьи: 320230 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

Понижение роли контроллера домена, локальные группы домена не используются для доступа к локальным ресурсам. Обратите внимание, что это поведение только применяется к доменам, которые находятся в смешанном режиме. По-прежнему может быть локальной группы отображается в списке управления доступом (ACL). Тем не менее его нельзя использовать для авторизация и не могут быть добавлены другие списки ACL. Когда пользователь которого доступ была определена с использованием домена пытается использовать ресурсы на локальную группу понизить роль сервера, пользователь может появиться сообщение об ошибке «Отказано в доступе» (или эквивалентные ошибок).

Причина

В смешанном режиме является областью локальной группы домена контроллеры домена. После понижения роли контроллера домена, она выпадает из область действия группы этого типа. Несмотря на то, что группа SID остается в списке ACL и могут не разрешается, они не могут использоваться для предоставления доступа. Причина в том, что Локальная группа домена не входит в маркер доступа пользователей, которые вошли в систему Рядовые компьютеры. Это происходит только когда домен работает в основном режиме.

Решение

Для временного решения этой проблемы используйте один из следующих методы:
  • Изменение режима работы домена на основной режим, чтобы расширить область из группы всех членов домена. Обратите внимание, что это позволяет Windows NT 4.0 резервные контроллеры домена из репликации. В Windows Server 2003, Windows NT 4.0 не поддерживается в Windows 2000 режим работы. Под управлением Windows 2000 и Windows 2003 поддерживаются в режиме работы Windows 2000.
    Примечание По умолчанию домены в среде Windows Server 2003 работают в смешанном режиме Windows 2000. На этом уровне, Windows NT 4.0 Windows 2000 и семейства Windows Server 2003, все поддерживается.
  • Создать новую локальную группу (или глобальной группы домена), а затем Используйте средство миграции Active Directory версии 2 для преобразования ссылок из локальной группы домена вновь созданную группу. Это можно сделать с помощью Средство миграции безопасности с помощью файла сопоставления SID. Файл сопоставления SID содержит идентификатор SID из локальной группы домена и SID для замены Группа. Инструмент «Миграция в Active Directory» выполняет поиск и замена (или добавляет) старый SID на новый.
  • Можно использовать средство Subinacl с Microsoft Windows NT Пакет Resource Kit.

    Для получения дополнительных сведений посетите следующий веб-узел корпорации Майкрософт:
    http://www.Microsoft.com/downloads/details.aspx?FamilyID = e8ba3e56-d8fe-4a91-93cf-ed6985e3927b & displaylang = en

Статус

Это поведение является особенностью.

Дополнительная информация

При использовании Windows 2000 Server и Windows 2000 Дополнительно Являются сервера в смешанном режиме, границы для локальных групп домена Контроллеры текущего домена. Локальные группы может использоваться только для назначения Разрешения файловой системы Windows NT (NTFS) или разрешения для общего ресурса, например, на Контроллеры текущего домена.

Когда контроллер домена будет понижена, идентификаторы SID локальных групп, остаются в списки управления доступом и по-прежнему сопоставляется их понятные имена. Однако после понижения роли они не могут использоваться для авторизации. Кроме того их нельзя добавить либо разрешения файла или папки до переключения домена в машинный код режим.

Переключение в собственный режим домена предоставляет группу гибкость для добавления локальных групп к ресурсам между доменами контроллеры. В Windows 2000 это правило применяется к домену Windows 2000 контроллеры, которые были понижены и контроллеры домена Windows NT 4.0 были обновлены и оставить рядовых серверов во время обновления. Для получения дополнительных сведений о локальные группы домена, щелкните следующий номер статьи для просмотра статьи в База знаний корпорации Майкрософт:
259392 Область действия локальных группах домена в режимы работы домена Windows 2000

Свойства

Код статьи: 320230 - Последний отзыв: 8 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Ключевые слова: 
kbnetwork kbprb kbui kbmt KB320230 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:320230

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com