文章編號: 810076 - 上次校閱: 2012年3月6日 - 版次: 2.0

使用者定義的本機群組的受限群組 (「 成員 」) 行為的更新

可以下載 Hotfix下載 Hotfix
檢視和要求下載 hotfix
中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

在早於 Microsoft 版本的 Microsoft WindowsWindows 2000 Service Pack 4 (SP4),受限群組 隸屬在 [群組原則的安全性設定不能將網域群組新增至網域本機群組成員電腦上。在 Microsoft Windows 2000 SP4、 Windows Server 2003 及較新版本更新的受限群組行為。Microsoft Windows XP Service Pack 1 (SP1) 需要更新的受限群組行為、 Windows Vista 和較新的具有內建此更新程式的重要補充程式。本文說明的功能所做的變更。
回此頁最上方

其他相關資訊

使用 [受限群組 隸屬 功能,您現在可以加入網域群組至本機群組。針對有關 「 受限群組 」 功能,包括 成員 以及 隸屬 說明,請參閱 Windows Server 中的 [受限群組 」產品文件。
回此頁最上方

XP Windows

服務套件資訊

若要解決這個問題,請取得最新的 service pack,Windows xp。如需詳細資訊資訊,請按一下下面的文章編號,檢視中的文件Microsoft 知識庫 」:
322389? (http://support.microsoft.com/kb/322389/ ) 如何取得最新的 Windows XP service pack

Hotfix 資訊

使用 Microsoft 的支援的 hotfix。然而,其目的只為修正問題這份文件中所述。此 hotfix 只適用於發生此特定問題的系統上。此 hotfix 可能會接受其他測試。因此,如果您不會嚴重受到這個問題,我們建議您等候下一個包含此 hotfix 的軟體更新。

如果此 hotfix 已開放下載,則 「 下載 Hotfix 」 區段中,在此知識庫文件的頂端。如果沒有出現這一節,請連絡 Microsoft 客戶服務及支援 」 取得 hotfix。

附註 如果發生其他問題,或者需要進行疑難排解時,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題,以及此特定 hotfix 無法解決的問題。如需完整清單的 「 Microsoft 客戶服務和支援的電話號碼,或建立個別的服務要求,請造訪下列 Microsoft 網站:
看到 (http://support.microsoft.com/contactus/?ws=support)
附註 「 下載 Hotfix 」 表單會顯示 hotfix 還是可以使用的語言。如果看不到您的語言,是因為 hotfix 未提供該語言。 這項功能的英文版具有檔案屬性 (或較新的檔案屬性) 下表所示。其日期和時間,這些檔案會列在國際標準時間(UTC)。當您檢視檔案資訊時,它會轉換為本地時間。若要想知道 UTC 及當地時間的差異,請使用 時間區域 在 [控制台] 中的 [日期及時間] 工具中] 索引標籤。
   Date         Time   Version        Size     File name   Platform
   ----------------------------------------------------------------
   31-Jan-2003  02:53  5.1.2600.1163  849,408  Scesrv.dll  IA64
   31-Jan-2003  02:53  5.1.2600.1163  307,712  Scesrv.dll  i386

將網域群組新增到本機群組

之後您確認是所有安裝的功能適當的電腦,您可以使用受限制的群組 隸屬 設定設為 [新增網域群組至本機群組 (內建或自訂)。您可以定義 隸屬 在多個 [群組原則] 物件中不同的群組原則(Gpo) 連結到任何站台、 任何網域或任何組織單位(OU),以及所有的規則才會生效。例如,以圖解中下列表格中,您可以建立將網域系統管理員 」 新增到本機原則系統管理員 」 群組,而且您可以將原則新增能加上我的管理系統管理員本機系統管理員群組的群組。這個群組已連結至網域層級GPO。您也可以建立一個原則,將我組織單位地區本機系統管理員群組的系統管理員 」 群組。這個群組已連結至組織單位層級的 GPO。所有的原則會強制執行。

[表 1: 新增網域群組至本機群組
摺疊此表格展開此表格
您定義受限群組] 原則的網域群組針對「 成員 」 的項目: 成員電腦上的本機群組GPO其中定義受限群組] 原則層級結果
網域系統管理員 」 (內建網域)系統管理員 (本機內建)網域層級系統管理員 」 群組包含網域系統管理員 」、 「 我的管理系統管理員和 「 我的組織單位系統管理員
我管理的系統管理員 (自訂的範圍)系統管理員(本機內建)網域層級包含系統管理員群組網域系統管理員 」、 我的管理系統管理員,以及我組織單位的系統管理員
我組織單位區域管理員 (區域 OU自訂)系統管理員 (本機內建)組織單位層級系統管理員 」 群組包含網域系統管理員 」,[我的管理系統管理員 」 和 「 我的組織單位系統管理員

跨 Gpo 時,將相同的網域群組加入至本機群組

如果您對同一個建立多個受限群組原則群組中多個 Gpo,只有其中一項原則會生效。受限的群組在 Gpo 之間不合併同一個群組的原則。是有效的原則決定群組原則處理的順序。如需有關資訊群組原則階層架構和處理順序,請造訪下列 Microsoft開發人員網路的網站:
http://msdn2.microsoft.com/en-us/library/aa374155.aspx (http://msdn2.microsoft.com/en-us/library/aa374155.aspx)
比方說,如下列表格所示,兩個限制定義網域系統管理員 」 群組原則。有定義在網域層級並將網域系統管理員 」 加入本機 Administrators 群組。另一個是在 OU 層級定義,並將網域系統管理員 」 群組加入至 [我的區域除系統管理員。網域系統管理員 」 只會新增到我的區域除法系統管理員 (根據預設,連結在 OU 層級覆寫這些 Gpo,被定義在網域層級)。

表 2]: 跨 Gpo 將相同的網域群組新增到本機群組
摺疊此表格展開此表格
您可以為其定義受限群組的網域群組原則「 成員 」 的項目: 成員電腦上的本機群組GPO其中定義受限群組] 原則層級結果
網域系統管理員 」 (內建網域)系統管理員 (本機內建)網域層級有鑑於此,Gpo 的處理方式,網域系統管理員 」 將只能加入至 [我的區域除法 Admins 群組。
網域系統管理員 」 (內建網域)我地區除法系統管理員 (本機自訂)組織單位有鑑於此,Gpo 的處理方式,網域系統管理員 」 將只能加入至 [我的區域除法 Admins 群組。

網域控制站

在舊版的 Windows 中,如果網域控制站處理在其中的 [受限群組] 原則 成員 區段留白、 從群組的所有成員會被都清除時已套用的原則,不論設定的 隸屬.比方說,如果您建立 [受限群組] 原則,在網域系統管理員 」 以一個空白的網域層級 成員 區段,如果您將包含在本機系統管理員 隸屬已套用原則,網域系統管理員 」 中的所有成員群組會被移除 (包括內建的系統管理員帳戶),以及空白的網域系統管理員 」 群組加入至本機管理員群組。

[在 Windows 2000 SP4、 Windows XP 加 Service Pack 2 (SP2) 和視窗行為伺服器 2003年已經獲得修正。在電腦上執行下列之一如果您套用 [受限群組原則來定義的 Windows 版本 隸屬 但會保留 成員 空白的 成員 區段會被忽略,並不是群組成員資格已清空。

如果您打算使用 「 受限群組 」 功能,若要設定網域控制站、 成員伺服器,會啟用此更新程式或請確定使用者在所有執行 Windows 2000 SP4,Windows XP 的工作站,SP2 或讓該網域群組成員資格,Windows Server 2003 就不會修改因為不小心。

成員伺服器及工作站、 裡的行為這種情況下保持不變。

將 「 成員 」 和 「 成員的 「 受限群組原則套用到本機群組

建議您最好定義中新增 [受限群組] 原則網域群組至本機群組,以及定義另一個 [受限群組] 原則會限制該本機群組成員資格。最後的群組成員資格無法預測該本機群組,因為兩者的處理順序受限制的群組原則未定義。例如,以圖解中下表中,如果您要建立新增網域的受限群組] 原則本機系統管理員群組的系統管理員 」 和 「 如果您建立受限群組限制為內建的本機 Administrators 群組的成員資格的原則系統管理員帳戶,您無法預測若不論是哪一項原則會被強迫執行。如果網域系統管理員 」 會加入至本機管理員群組之前系統管理員成員資格有限,網域系統管理員 」 將會加入至本機系統管理員群組,然後移除。不過,如果以本機系統管理員網域系統管理員 」 加入至系統管理員群組成員資格是限制群組中,網域系統管理員 」 會保留在本機系統管理員群組。

表 3: 新增網域群組到本機群組擁有受限制的成員資格
摺疊此表格展開此表格
您定義受限群組] 原則的群組針對「 成員 」 的項目「 成員 」 的項目產生的群組成員資格
網域系統管理員 」 (網域內建)系統管理員 (本機內建)您無法預測的本機系統管理員群組的最後一個群組成員資格。
系統管理員 (本機內建)系統管理員 (本機內建)您無法預測的最後一個群組成員資格為本機系統管理員群組中。
若要取得您想要的成員資格,使用任何一種 成員隸屬 以獨佔方式限制群組原則。在範例中,在 [表 3]若要取得系統管理員想要的群組成員資格,新增至網域系統管理員 」[ 成員 本機系統管理員群組受限群組的項目原則。
回此頁最上方

Windows 2000

服務套件資訊

若要解決這個問題,請取得最新Microsoft Windows 2000 service pack。如需詳細資訊,請按一下下面的文章編號,檢視 「 Microsoft 知識庫 」 中:
260910? (http://support.microsoft.com/kb/260910/ ) 如何取得最新的 Windows 2000 service pack

Hotfix 資訊

修改產品預設行為的支援的功能是可以從 Microsoft 取得的。不過,這項功能被限於修改本文所描述的行為。這項功能只適用於特別需要的系統上。

如果此功能已開放下載,但沒有 「 下載 Hotfix 」 區段中,在此知識庫文件的頂端。如果沒有出現這一節,請連絡 「 Microsoft 客戶服務及支援 」 以取得 」 功能。

附註 如果發生其他問題,或者需要進行疑難排解時,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題,以及此特定功能無法解決的問題。如需完整清單的 「 Microsoft 客戶服務和支援的電話號碼,或建立個別的服務要求,請造訪下列 Microsoft 網站:
看到 (http://support.microsoft.com/contactus/?ws=support)
附註 「 下載 Hotfix 」 表單會顯示此功能已開放的語言。如果看不到您的語言,是因為此功能不適用於該語言。 此 hotfix 的英文版包含的檔案屬性 (或較新的檔案屬性) 下表所示。其日期和時間,這些檔案會列在國際標準時間(UTC)。當您檢視檔案資訊時,它會轉換為本地時間。若要想知道 UTC 及當地時間的差異,請使用 時間區域 在控制項中的 [日期及時間] 工具中] 索引標籤面板。
 Date        Time     Version         Size       File name
 -------------------------------------------------------------
 07-Nov-2002  22:33   5.0.2195.6109    124,688   Adsldp.dll
 07-Nov-2002  22:33   5.0.2195.5781    131,344   Adsldpc.dll
 07-Nov-2002  22:33   5.0.2195.6109     62,736   Adsmsext.dll
 07-Nov-2002  22:33   5.0.2195.6052    358,160   Advapi32.dll
 07-Nov-2002  22:33   5.0.2195.6094     49,936   Browser.dll
 07-Nov-2002  22:33   5.0.2195.6012    135,952   Dnsapi.dll
 07-Nov-2002  22:33   5.0.2195.6076     96,016   Dnsrslvr.dll
 15-Nov-2001  23:27                      5,149   Empty.cat
 07-Nov-2002  22:33   5.0.2195.5722     45,328   Eventlog.dll
 07-Nov-2002  22:33   5.0.2195.6059    146,704   Kdcsvc.dll
 01-Nov-2002  18:52   5.0.2195.6112    204,048   Kerberos.dll
 21-Aug-2002  16:27   5.0.2195.6023     71,248   Ksecdd.sys
 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll
 07-Nov-2002  02:02   5.0.2195.6118     33,552   Lsass.exe
 27-Aug-2002  22:53   5.0.2195.6034    108,816   Msv1_0.dll
 07-Nov-2002  22:33   5.0.2195.5979    307,472   Netapi32.dll
 07-Nov-2002  22:33   5.0.2195.6075    360,720   Netlogon.dll
 07-Nov-2002  22:33   5.0.2195.6100    920,848   Ntdsa.dll
 07-Nov-2002  22:33   5.0.2195.6100    389,392   Samsrv.dll
 07-Nov-2002  22:33   5.0.2195.6120    130,320   Scecli.dll
 07-Nov-2002  22:33   5.0.2195.6120    303,888   Scesrv.dll
 07-Nov-2002  01:56   5.0.2195.6118    139,264   Sp3res.dll
 07-Nov-2002  00:05         5.3.9.0      4,096   Spmsg.dll
 07-Nov-2002  00:06         5.3.9.0     87,040   Spuninst.exe
 07-Nov-2002  22:33   5.0.2195.5859     48,912   W32time.dll
 04-Jun-2002  21:32   5.0.2195.5859     57,104   W32tm.exe
 07-Nov-2002  22:33   5.0.2195.6100    126,224   Wldap32.dll
 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll     --   56-bit
如需有關如何取得為 Windows 2000 Datacenter Server 重要補充程式,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
265173? (http://support.microsoft.com/kb/265173/ ) 資料中心的程式和 Windows 2000 Datacenter Server 產品
如需有關如何安裝多個視窗更新或重新啟動時的快速補充程式一次,按一下下列文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
296861? (http://support.microsoft.com/kb/296861/ ) 若要安裝多個 Windows 更新或 hotfix 只能有一個與重新啟動方式
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Microsoft Windows XP Professional
  • Windows Vista 商用入門版
  • Windows Vista 商用進階版
  • Windows Vista 旗艦版
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
回此頁最上方
關鍵字:?
kbautohotfix kbHotfixServer kbqfe kbwinxpsp2fix kbsecurity kbwin2ksp4fix kbwin2000presp4fix kbfix kbmt KB810076 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:810076? (http://support.microsoft.com/kb/810076/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。