當外部的 Kerberos 領域中的使用者登入時,Windows XP 商用版基礎或 Windows 2000 專業版為基礎的電腦,子網域中時,不會套用 「 群組原則 」 設定

文章翻譯 文章翻譯
文章編號: 892090 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

外部的 Kerberos 領域中的使用者登入至 Microsoft Windows XP 商用版為基礎的電腦或 Microsoft Windows 2000 專業版架構的電腦,子網域中。從父網域中的 Microsoft Windows Server 2003 網域控制站 」 的 「 群組原則 」 設定不會套用。

發生的原因

這個問題發生,因為 Microsoft Windows Server 2003 中增加安全性。

解決方案

這是用戶端修正程式。如果要解決這個問題,您必須,一個至少安裝 Hotfix 子網域中的所有用戶端電腦上。您必須將 Hotfix 套用至下列電腦:
  • Windows Server 2003 用戶端子網域中
  • Windows XP 用戶端子網域中
  • 子網域中的 Windows 2000 專業版用戶端
如果任何一個 Windows 2000 或 Windows Server 2003 為基礎的伺服器或網域控制站正在執行用戶端驗證要求的外部 Kerberos 領域帳戶,也應該在這些電腦上安裝 Hotfix。

附註這個問題不只適用於子網域。就會發生這個問題可以透過其他可轉移信任關係。比方說這個問題可以會發生在不同的樹狀目錄中的網域中如果相同的樹系中的信任網域信任外部的 Kerberos 領域。

Windows Server 2003 服務套件資訊

如果要解決這個問題,取得最新的 Service Pack 的 Windows Server 2003。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
889100如何取得最新的 Service Pack 的 Windows Server 2003

Windows Server 2003 Hotfix 資訊

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。只會發生此特定問題的系統套用此 Hotfix。這個 Hotfix 可能會接受額外的測試。因此,如果您不會嚴重影響這個問題,我們建議您等候下一個包含此 Hotfix 的軟體更新。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果本節 Does Not Appear 請連絡[ Microsoft 客戶服務 ] 和 [ 支援 ] 以取得此 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。

必要條件

沒有先決條件都是必要的。

重新啟動需求

套用此 Hotfix 之後,您必須重新啟動電腦。

Hotfix 取代資訊

此 Hotfix 不會取代任何其他的 Hotfix。

檔案資訊

此 Hotfix 的英文版在檔案屬性 (或更新版本的檔案屬性) 如下列表格中所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
Windows Server 2003 x x64 為主的版本
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台預存程序需求服務分支
Kerberos.dll5.2.3790.2452716,8002005 年五月 25 日18: 18x64sp1不適用
Secur32.dll5.2.3790.2452122,8802005 年五月 25 日18: 18x64sp1不適用
Wldap32.dll5.2.3790.2452399,3602005 年五月 25 日18: 18x64sp1不適用
Wkerberos.dll5.2.3790.2452349,1842005 年五月 25 日18: 18x86sp1
Wsecur32.dll5.2.3790.245266,5602005 年五月 25 日18: 18x86sp1
Wwldap32.dll5.2.3790.2452178,6882005 年五月 25 日18: 18x86sp1
Itanium 系統的 Windows Server 2003 企業版
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台預存程序需求服務分支
Kerberos.dll5.2.3790.335902,6562005 年五月 25 日04: 49IA 64RTMQFE
Secur32.dll5.2.3790.335171,0082005 年五月 25 日04: 49IA 64RTMQFE
Wldap32.dll5.2.3790.335426,4962005 年五月 25 日04: 49IA 64RTMQFE
Wkerberos.dll5.2.3790.335342,0162005 年五月 25 日04: 49x86
Wsecur32.dll5.2.3790.33559,3922005 年五月 25 日04: 49x86
Wwldap32.dll5.2.3790.335162,3042005 年五月 25 日04: 49x86
Kerberos.dll5.2.3790.2452957,9522005 年五月 25 日04: 49IA 64sp1sp1qfe
Secur32.dll5.2.3790.2452190,9762005 年五月 25 日04: 49IA 64sp1sp1qfe
Wldap32.dll5.2.3790.2452453,1202005 年五月 25 日04: 49IA 64sp1sp1qfe
Wkerberos.dll5.2.3790.2452349,1842005 年五月 25 日04: 49x86sp1
Wsecur32.dll5.2.3790.245266,5602005 年五月 25 日04: 49x86sp1
Wwldap32.dll5.2.3790.2452178,6882005 年五月 25 日04: 49x86sp1
32 位元版本 Windows Server 2003
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台預存程序需求服務分支
Kerberos.dll5.2.3790.335342,0162005 年五月 25 日16: 48x86RTMQFE
Secur32.dll5.2.3790.33564,5122005 年五月 25 日16: 48x86RTMQFE
Wldap32.dll5.2.3790.335162,3042005 年五月 25 日16: 48x86RTMQFE
Kerberos.dll5.2.3790.2452349,1842005 年五月 25 日16: 54x86sp1sp1qfe
Secur32.dll5.2.3790.245265,5362005 年五月 25 日16: 54x86sp1sp1qfe
Wldap32.dll5.2.3790.2452178,6882005 年五月 25 日16: 54x86sp1sp1qfe

Windows XP 商用版 Hotfix 資訊

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。只會發生此特定問題的系統套用此 Hotfix。這個 Hotfix 可能會接受額外的測試。因此,如果您不會嚴重影響這個問題,我們建議您等候下一個包含此 Hotfix 的軟體更新。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果本節 Does Not Appear 請連絡[ Microsoft 客戶服務 ] 和 [ 支援 ] 以取得此 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。

必要條件

Windows XP Service Pack 2 (SP2)

重新啟動需求

套用此 Hotfix 之後,您必須重新啟動電腦。

Hotfix 取代資訊

此 Hotfix 不會取代任何其他的 Hotfix。

檔案資訊

此 Hotfix 的英文版在檔案屬性 (或更新版本的檔案屬性) 如下列表格中所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台預存程序需求服務分支
Kerberos.dll5.1.2600.2676295,9362005 年五月 13 日17: 10x86sp2sp2qfe
Wldap32.dll5.1.2600.2676172,0322005 年五月 13 日17: 10x86sp2sp2qfe

Windows 2000 專業版 Hotfix 資訊

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。只會發生此特定問題的系統套用此 Hotfix。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果沒有出現此區段,將要求提交到 Microsoft 客戶服務及支援],以取得該 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。

必要條件

Windows 2000 Service Pack 4 (SP4)

重新啟動需求

套用此 Hotfix 之後,您必須重新啟動電腦。

Hotfix 取代資訊

此 Hotfix 不會取代任何其他的 Hotfix。

檔案資訊

此 Hotfix 的英文版在檔案屬性 (或更新版本的檔案屬性) 如下列表格中所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Adsldp.dll5.0.2195.6613125,71219-Jun-200307: 35x86
Adsldpc.dll5.0.2195.6701133,90419-Jun-200307: 35x86
Adsmsext.dll5.0.2195.666762,73619-Jun-200307: 35x86
Advapi32.dll5.0.2195.6876388,3682004 年三月 23 日13: 47x86
Browser.dll5.0.2195.686669,9042004 年三月 23 日13: 47x86
Dnsapi.dll5.0.2195.6824134,9282004 年三月 23 日13: 47x86
Dnsrslvr.dll5.0.2195.687692,4322004 年三月 23 日13: 47x86
Eventlog.dll5.0.2195.688347,8882004 年三月 23 日13: 47x86
Kdcsvc.dll5.0.2195.6890143,6322004 年三月 23 日13: 47x86
Kerberos.dll5.0.2195.7049207,1202005 年五月 12 日01: 20x86
Ksecdd.sys5.0.2195.682471,8882003 年九月 20 日12: 02x86
Lsasrv.dll5.0.2195.6987513,2962004 年十月 15 日05: 46x86
Lsass.exe5.0.2195.690233,5522004 年二月 25 日11: 29x86
Msv1_0.dll5.0.2195.6897123,1522004 年三月 10 日14: 07x86
Netapi32.dll5.0.2195.6949309,0082004 年六月 10 日04: 28x86
Netlogon.dll5.0.2195.6891371,4722004 年三月 23 日13: 47x86
Ntdsa.dll5.0.2195.68961,028,8802004 年三月 23 日13: 47x86
Samsrv.dll5.0.2195.6897388,3682004 年三月 23 日13: 47x86
Scecli.dll5.0.2195.6893111,3762004 年三月 23 日13: 47x86
Scesrv.dll5.0.2195.6903253,2002004 年三月 23 日13: 47x86
Sp3res.dll5.0.2195.70406,309,3762005 年四月 20 日21: 37x86
W32time.dll5.0.2195.682450,9602004 年三月 23 日13: 47x86
W32tm.exe5.0.2195.682457,1042003 年九月 20 日12: 02x86
Wldap32.dll5.0.2195.7049127,2482005 年五月 12 日18: 28x86

其他可行方案

如果要解決這個問題,使用下列方法之一:
  • 符合對於外部使用者帳戶和父網域中目前對應的 Windows 使用者帳戶的密碼。
  • 將外部的 Kerberos 領域使用者帳戶對應到子網域中的帳戶。

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。 這個問題,首先已經在 Microsoft Windows Server 2003 Service Pack 2 中獲得修正。

其他相關資訊

在以下的事件順序之後,就會發生這個問題:
  1. Kerberos 用戶端查詢以取得網域控制站帳戶外部的領域。
  2. 外部的領域沒有從父系網域的網域控制站電腦帳戶。因此,外部的領域會傳回回應"不明主體]。
  3. Kerberos 用戶端查詢以取得網域控制站帳戶的子網域。
  4. 子網域會發出交叉領域票證授與的票證 (TGT)。因為原始 TGT 從外部的領域不包含特殊權限屬性憑證 (PAC),子網域會建立新的 PAC.這個新的 PAC 包含使用者所屬的父網域群組。
  5. Kerberos 用戶端會跟隨推薦項目到父系網域。當父系網域接收交叉領域 TGT 包含包括從其所屬網域的安全性識別碼 (SID) 的 PAC 時,父系網域會拒絕該 TGT.
Windows Server 2003 安全性功能確認 SID 從金鑰發佈中心 (KDC) 受信任的領域中並未包含在從另一個領域 PACs。這個行為有助於防止 KDCs 取得 [KDCs 做不維護的領域中提高權限。

此 Hotfix 與用戶端電腦可以成功交涉信任路徑。 用戶端電腦避免這種情況 Windows Server 2003 KDC 地方看到從 Windows Server 2003 領域包括 SID 的 PAC。

Windows 2000 Server 並沒有這個額外的 SID 篩選功能。因此,這個問題不會發生在 Windows 2000 Server 為基礎的網域。

如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
824684用來描述 Microsoft 軟體更新標準術語的說明

x 的 Microsoft Windows x64 版的技術支援人員

您的硬體製造商提供技術支援和 x x64 為主的 Windows 版本的協助。您的硬體製造商提供的支援,因為 x x64 Windows 的版本是隨附在您的硬體。您的硬體製造商可能已經) 自訂安裝的 Windows 與唯一的元件。唯一的元件可能包括特定的裝置驅動程式,或可能包含選擇性的設定,以充分發揮硬體效能。如需技術協助您 x x64 為主的 Windows 版本,Microsoft 會提供合理努力尋求協助。但是,您可能必須直接連絡您的製造商。您的製造商最佳人選支援您的製造商安裝硬體的軟體。

如需 Microsoft Windows XP 商用版 x64 版的產品資訊,請造訪下列 Microsoft 網站]:
http://www.microsoft.com/windowsxp/64bit/default.mspx
如需產品有關資訊 x x64 版本的 Microsoft Windows Server 2003,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

屬性

文章編號: 892090 - 上次校閱: 2007年10月11日 - 版次: 4.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbfix kbpubtypekc KB892090 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:892090
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com