受限制的组 ("成员") 行为的用户定义的本地组的更新

文章翻译 文章翻译
文章编号: 810076 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

在 Microsoft Windows 的版本早于 MicrosoftWindows 2000 Service Pack 4 (SP4),受限制的组 成员在组策略中的安全设置不能用于将域组添加到本地组成员的计算机上。在 Microsoft Windows 2000 SP4,Windows Server 2003 和较新版本更新的受限制的组的行为。Microsoft Windows XP Service Pack 1 (SP1) 所需的修补程序更新受限制的组的行为、 Windows Vista 和较新的具有内置此更新。本文介绍了该功能所做的更改。

更多信息

使用受限制的组 成员 功能,现在可以向本地组添加域组。对于有关受限制的组功能的详细信息包括 成员Memberof 说明,请参阅 Windows 服务器中的"受限组"产品文档。

XP Windows

服务包信息

若要解决此问题,获取最新的服务包,用于 Windows XP。有关详细信息信息,请单击下面的文章编号,以查看在文章微软知识文库:
322389 如何获取最新的 Windows XP 服务包

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序用于解决本文中描述的问题。应用此修复程序只于出现这一特定问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

如果此修复程序可供下载,没有在此知识文库文章顶部"提供修补程序下载"部分。如果此部分不会出现,请与 Microsoft 客户服务和支持,以获取此修复程序。

注意 如果出现其他问题或是否需要任何故障诊断,您可能必须创建一个单独的服务请求。将正常收取费用将应用于其他支持问题和事项,不为此特定的修补程序。Microsoft 客户服务和支持电话号码的或者创建一个单独的服务请求的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意 在"可用的修补程序下载"窗体显示修补程序所用的语言。如果您看不到您的语言,则是一个修补程序不能用于该语言。 此功能的英文版具有的文件属性 (或更新的文件属性) 下表中列出。协调通用时间中列出的日期和时间,这些文件(UTC)。当您查看文件信息时,它将转换为本地时间。若要了解 UTC 与本地时间之间的时差,请使用 时间区域 在控制面板中的日期和时间工具中的选项卡。
   Date         Time   Version        Size     File name   Platform
   ----------------------------------------------------------------
   31-Jan-2003  02:53  5.1.2600.1163  849,408  Scesrv.dll  IA64
   31-Jan-2003  02:53  5.1.2600.1163  307,712  Scesrv.dll  i386

将域组添加到本地组

在您已验证所有上安装了该功能相应的计算机,您可以使用受限制的组 成员 若要将域组添加到本地组的设置 (内置或自定义)。您可以定义 成员 在多个组策略对象中的不同组的策略(Gpo) 链接到任何站点、 任何域或组织单位(OU),并且所有策略都生效。例如,作为示下表中,您可以创建一个策略,将域管理员添加到本地管理员组,并且您可以添加我管理管理员中添加的策略本地管理员组组。此组已链接到域级别GPO。您还可以创建一个策略,我组织单元区域中添加本地的管理员组到管理员组中。此组已链接到OU 级别的 GPO。强制所有策略。

表 1: 将域组添加到本地组
收起该表格展开该表格
您定义的受限制的组策略的域组对于"成员"项: 在成员计算机上的本地组GPO其中定义的受限制的组策略级别结果
域管理员 (内置域)(本地管理员内置)域级别管理员组包含域管理员、 管理管理员我和我组织单位的管理员
我管理管理员 (自定义的域)管理员(本地内置)域级别管理员组包含域管理员、 我管理管理员中,和我的组织单位管理员
我组织单元区域管理员 (区域 OU自定义)管理员 (本地内置)OU级别管理员组包含域管理员,我的管理管理员和我组织单位的管理员

在 Gpo 向本地组添加相同的域组

如果您为相同创建多个受限制的组策略分组多个 Gpo,仅有一个策略将生效。受限制的组在 Gpo 不合并相同的组策略。是有效的策略将组策略处理过程的顺序决定。有关信息组策略层次结构和处理顺序,请访问下面的 Microsoft开发人员网络 Web 站点:
http://msdn2.microsoft.com/en-us/library/aa374155.aspx
例如下, 表中所示,两个限制组策略的域管理员的定义。域定义了级别,将域管理员添加到本地管理员组。另一种是在 OU 级别定义并将域管理员组添加到我的区域部门管理员。域管理员将只被添加到我的区域划分管理员 (默认情况下链接在 OU 级别覆盖这些 Gpo 的在域级别定义)。

表 2: 通过 Gpo 向本地组添加相同的域组
收起该表格展开该表格
您要为其定义受限制的组的域组策略"成员"项: 在成员计算机上的本地组GPO受限制的组策略定义的位置的级别结果
域管理员 (内置域)(本地管理员内置)域级别由于 Gpo 的处理方式的只会对我的区域部门管理员组添加域管理员。
域管理员 (内置域)我的区域划分管理员 (本地自定义)OU由于 Gpo 的处理方式的只会对我的区域部门管理员组添加域管理员。

域控制器

在早期版本的 Windows 中,如果域控制器处理在其中一个受限制的组策略 成员 部分保留为空,从组中的所有成员都会被都清除时应用的策略,不管的设置 成员.例如,如果您创建在受限制的组策略域级别的域管理员的一张空白的 成员 部分,如果您包括在本地管理员 成员在应用策略时,域管理员组的所有成员(包括内置管理员帐户),删除组和一个空域管理员组添加到本地管理员组中。

"在 Windows 2000 SP4,Windows XP Service Pack 2 (SP2) 和 Windows 中的行为服务器 2003年已得到纠正。运行下列任一计算机上版本的 Windows 中,如果您应用定义的受限制的组策略 成员 但保留 成员 保留为空, 成员 部分将被忽略,并不是组成员身份清空。

如果您计划使用受限制的组功能,此更新可以配置成员服务器的域控制器,或工作站,请确保它们所有运行 Windows 2000 SP4,Windows XPSP2 中或 Windows Server 2003 域组成员身份,因此不能进行修改无意中。

成员服务器和工作站、 中的行为这种情况下保持不变。

将"成员"和"成员的"受限制的组策略应用于本地组

最好定义一个受限制的组策略中添加的域本地组并定义另一个受限制的组策略的组本地组的成员身份来限制的。最后一组成员身份无法预测该本地组,因为这两种处理顺序未定义受限制的组策略。例如,作为示下表中,如果您创建一个受限制的组策略中添加域管理员本地管理员组,如果您创建受限制的组策略,限制在内置的本地管理员组的成员身份管理员帐户,您无法预测是否任一策略将强制重新启动。如果域管理员被添加到本地管理员组前仅限于管理员成员身份,域管理员将被添加到本地管理员组,然后删除。但是,如果本地管理员之前添加域管理员的管理员组成员身份是有限域管理员组,将保留在本地管理员组中。

表 3: 域组添加到本地组具有受限制的成员资格
收起该表格展开该表格
您定义的受限制的组策略的组对于"成员"项"成员"项生成的组成员身份
域管理员 (域内置)管理员 (本地内置)您无法预测本地管理员组的最后一个组成员身份。
管理员 (本地内置)(本地管理员内置)您无法预测的最后一个组成员身份为本地的管理员组。
若要获得所需的成员身份,可以使用两种 成员成员 组策略以独占方式的限制。在表 3 中的示例要获取管理员组所需的成员资格,请添加域管理员" 成员 为本地管理员组受限制组条目策略。

Windows 2000

服务包信息

要解决此问题,请获取最新版本对于 Microsoft Windows 2000 service pack。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 服务包

修补程序信息

用于修改产品的默认行为的受支持的功能是可以从 Microsoft 获得。但是,此功能用于修改本文所描述的行为。此功能仅适用于专门需要它的系统。

如果该功能可供下载,没有在此知识文库文章顶部"提供修补程序下载"部分。如果此部分不会出现,请与 Microsoft 客户服务和支持,以获取该功能。

注意 如果出现其他问题或是否需要任何故障诊断,您可能必须创建一个单独的服务请求。将正常收取费用将应用于其他支持问题和事项,不为此特定的功能。Microsoft 客户服务和支持电话号码的或者创建一个单独的服务请求的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意 "提供修补程序下载"窗体所显示的语言的功能才可用。如果您看不到您的语言,是因为该功能不可用该语言。 此修补程序的英文版具有的文件属性 (或更新的文件属性) 下表中列出。协调通用时间中列出的日期和时间,这些文件(UTC)。当您查看文件信息时,它将转换为本地时间。若要了解 UTC 与本地时间之间的时差,请使用 时间区域 在控件中的日期和时间工具中的选项卡面板。
 Date        Time     Version         Size       File name
 -------------------------------------------------------------
 07-Nov-2002  22:33   5.0.2195.6109    124,688   Adsldp.dll
 07-Nov-2002  22:33   5.0.2195.5781    131,344   Adsldpc.dll
 07-Nov-2002  22:33   5.0.2195.6109     62,736   Adsmsext.dll
 07-Nov-2002  22:33   5.0.2195.6052    358,160   Advapi32.dll
 07-Nov-2002  22:33   5.0.2195.6094     49,936   Browser.dll
 07-Nov-2002  22:33   5.0.2195.6012    135,952   Dnsapi.dll
 07-Nov-2002  22:33   5.0.2195.6076     96,016   Dnsrslvr.dll
 15-Nov-2001  23:27                      5,149   Empty.cat
 07-Nov-2002  22:33   5.0.2195.5722     45,328   Eventlog.dll
 07-Nov-2002  22:33   5.0.2195.6059    146,704   Kdcsvc.dll
 01-Nov-2002  18:52   5.0.2195.6112    204,048   Kerberos.dll
 21-Aug-2002  16:27   5.0.2195.6023     71,248   Ksecdd.sys
 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll
 07-Nov-2002  02:02   5.0.2195.6118     33,552   Lsass.exe
 27-Aug-2002  22:53   5.0.2195.6034    108,816   Msv1_0.dll
 07-Nov-2002  22:33   5.0.2195.5979    307,472   Netapi32.dll
 07-Nov-2002  22:33   5.0.2195.6075    360,720   Netlogon.dll
 07-Nov-2002  22:33   5.0.2195.6100    920,848   Ntdsa.dll
 07-Nov-2002  22:33   5.0.2195.6100    389,392   Samsrv.dll
 07-Nov-2002  22:33   5.0.2195.6120    130,320   Scecli.dll
 07-Nov-2002  22:33   5.0.2195.6120    303,888   Scesrv.dll
 07-Nov-2002  01:56   5.0.2195.6118    139,264   Sp3res.dll
 07-Nov-2002  00:05         5.3.9.0      4,096   Spmsg.dll
 07-Nov-2002  00:06         5.3.9.0     87,040   Spuninst.exe
 07-Nov-2002  22:33   5.0.2195.5859     48,912   W32time.dll
 04-Jun-2002  21:32   5.0.2195.5859     57,104   W32tm.exe
 07-Nov-2002  22:33   5.0.2195.6100    126,224   Wldap32.dll
 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll     --   56-bit 
有关详细信息获取修补程序的 Windows 2000 的数据中心服务器,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
265173数据中心程序和 Windows 2000 的数据中心服务器产品
有关如何安装多个窗口的详细信息更新或修补程序时重新启动一次,单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
296861如何通过只重新启动一安装多个 Windows 更新或修补程序

属性

文章编号: 810076 - 最后修改: 2012年3月6日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Microsoft Windows XP Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
关键字:?
kbautohotfix kbhotfixserver kbqfe kbwinxpsp2fix kbsecurity kbwin2ksp4fix kbwin2000presp4fix kbfix kbmt KB810076 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 810076
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com