域控制器降级后权限受到影响

文章翻译 文章翻译
文章编号: 320230 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

当域控制器降级后,域本地组不能用来提供对本地资源的访问。请注意,此情况只适用于处于混合模式下的域。本地组可能仍会显示在访问控制列表 (ACL) 中。但不能将其用于授权,也不能将其添加到任何其他 ACL 中。当用户(其访问权限已通过使用域本地组定义)尝试使用已降级服务器上的资源时,该用户可能收到“拒绝访问”错误信息(或同等的错误信息)。

原因

在混合模式下,域本地组的作用域是域控制器。域控制器被降级后,它就脱离了此组类型的作用域。即使该组 SID 仍然保留在 ACL 中并且可以解析,也不能将其用于授权访问。原因在于该域本地组不在登录成员计算机的用户的访问标记中。只有当域处于本机模式时才会发生这种情况。

解决方案

要解决此问题,请使用下列任一方法:
  • 将该域的模式更改为本机模式,以将组的作用域扩展为所有域成员。请注意,这也会阻止 Windows NT 4.0 备份域控制器进行复制。在 Windows Server 2003 中,Windows NT 4.0 在 Windows 2000 的功能级别上不受支持。只有 Windows 2000 和 Windows 2003 在 Windows 2000 的功能级别上受支持。
    注意:默认情况下,Windows Server 2003 环境中的域在 Windows 2000 混合功能级别上运行。在该级别上,Windows NT 4.0、Windows 2000 和 Windows Server 2003 系列都受到支持。
  • 创建一个新的本地组(或域全局组),然后使用 Active Directory 迁移工具版本 2 将来自该域本地组的引用转换到新建组中。可以通过将安全转换功能应用于 SID 映射文件来实现此目的。该 SID 映射文件中包含来自域本地组的 SID,以及用于替换组的 SID。Active Directory 迁移工具搜索旧的 SID,并用新的 SID 进行替换(或增加新的 SID)。
  • 您可以使用 Microsoft Windows NT Resource Kit 中的 Subinacl 工具。

    有关更多信息,请访问下面的 Microsoft 网站:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en

状态

这种现象是设计使然。

更多信息

在混合模式下使用 Windows 2000 Server 和 Windows 2000 Advanced Server 时,域本地组的边界就是当前域的域控制器。本地组只能用来分配 Windows NT 文件系统 (NTFS) 权限或共享权限,例如,对当前域的域控制器。

当域控制器被降级时,本地组的 SID 仍保留在访问控制列表中,并且仍然可以被解析成友好的名称。但在降级后,不能将其用于授权。此外,不能将它们添加到文件权限或共享权限中,直到该域被切换到本机模式为止。

将域切换到本机模式可以给组提供灵活性,从而可将域本地组添加到非域控制器上的资源中。对于 Windows 2000 而言,这条规则适用于已经降级的 Windows 2000 域控制器,以及已经升级并且在升级过程中保留为成员服务器的 Windows NT 4.0 域控制器。 有关域本地组的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
259392 INFO:Windows 2000 域操作模式下的域本地组作用域

属性

文章编号: 320230 - 最后修改: 2005年6月8日 - 修订: 5.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbnetwork kbui kbprb KB320230
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com