Актуализации на поведението на ограничени групи ("член на") на локален потребителски групи

Информация за вътрешната поддръжка на Microsoft

ГРЕШКА #: 39494 (Windows SE)

Резюме

Във версии на Microsoft Windows от Microsoft Windows 2000 Service Pack 4 (SP4) ограничени групи член на настройка за защита в груповите правила не може да се използва за добавяне на домейн групи локални групи върху абонатни компютри. Ограничени групи поведение е актуализиран в Microsoft Windows 2000 SP4, Windows Server 2003 и по-нови версии. Microsoft Windows XP Service Pack 1 (SP1) изисква актуална корекция за актуализиране на поведението на ограничени групи, Windows Vista и по-нови са вградени в тази актуализация. Тази статия описва промените функцията.

Допълнителна информация

С ограничени групи членове на функционалност сега можете да добавите домейн групи местни групи. За допълнителна информация относно функцията за ограничени групи, включително членовете и член на описания вижте "Ограничени групи" в документацията на продукта Windows Server.

Windows XP

Информация за сервизния пакет

За да разрешите този проблем, трябва да получите най-новия сервизен пакет за Windows XP. За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

как да получите най-новия сервизен пакет за Windows XP

Информация за актуалната корекция

Поддържана актуална корекция се предлага от Microsoft. Тази актуална корекция обаче е предназначена да коригира само проблема, описан в тази статия. Прилагайте тази корекция само към системи, изпитващи този конкретен проблем. Може да се проведат допълнителни тестове на тази актуална корекция. Следователно ако не сте силно засегнати от този проблем, препоръчваме да изчакате следващата актуализация на софтуера, който ще съдържа тази корекция.

Ако актуалната корекция е налична за изтегляне, има секция "Налично изтегляне предлага" в горната част на тази статия от базата знания. Ако тази секция не се появява, свържете се с Microsoft за обслужване на клиенти и поддръжка, за да получите актуалната корекция.

Забележка: Ако възникнат допълнителни проблеми или проблеми, трябва да създадете отделна заявка за поддръжка. Обичайните такси за поддръжката ще важат за допълнителни въпроси и проблеми, които не спадат към конкретната актуална корекция. За пълен списък на телефонните номера на Microsoft за обслужване на клиенти и поддръжка или да създадете отделна заявка за поддръжка посетете следния уеб сайт на Microsoft:

Забележка: Формулярът "Налична актуална корекция изтегляне" показва езиците, за които е налична актуалната корекция. Ако не виждате вашия език, това е защото актуалната корекция не е налична за този език. Английската версия на тази функция има файлови атрибути (или по-нови файлови атрибути), които са изброени в следващата таблица. Датите и часовете за тези файлове са изброени в координирано световно време (UTC). При преглед на информацията за файла, преобразувана в местно време. За да намерите разликата между UTC и местното време, използвайте раздела часова зона в инструмента "дата и час" в контролния панел.
Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386

Добавяне на домейн групи местни групи

След като се уверите, че компонентът е инсталиран на всички подходящи компютри, можете да използвате групи за ограничен член на настройката да добавите група домейн към локалната група (вградени или по избор). Можете да определите член на правила за отделни групи в множество обекти с групови правила (GPO) към всеки сайт, домейн или всяка организационна единица (ОЕ) и всички правила влизат в сила. Например както е показано в следващата таблица, можете да създадете правила, който добавя администратори на домейн към локалната група администратори и можете да добавите правило, добавя My управление администратори група на групата локални администратори. Тази група е свързан към домейн ниво GPO. Можете също да създадете правила, която добавя групата My организационна единица регионални администраторите на групата локални администратори. Тази група е свързана с ОЕ ниво GPO. Всички правила са в сила.

Таблица 1: Добавяне на домейн групи местни групи

Домейн група, който определяте ограничени групи правила за

"Член на" запис: локална група на компютри

Ниво на GPO, където ограничени групи се определя

Резултат

Администраторите на домейн (домейн вградена)

Администраторите (локален вградени)

Ниво на домейна

Група на администраторите съдържа домейн администратори, My управление администратори и моите организационна единица администратори

Моите управление на администраторите (домейн по избор)

Администраторите (локален вградени)

Ниво на домейна

Група на администраторите съдържа домейн администратори, My управление администратори и моите организационна единица администратори

Моята организационна единица регионални администраторите (регионални или по избор)

Администраторите (локален вградени)

ТЕ ниво

Група на администраторите съдържа домейн администратори, My управление администратори и моите организационна единица администратори

Добавяне на същия домейн група местни групи през GPO

Ако създавате няколко ограничени групи правила за същата група в няколко GPO, само един правила ще влязат в сила. Ограничени групи правила за същата група не обедините GPO. Действащите правила се определя по реда на обработка на груповите правила. За информация относно груповите правила йерархия и обработка на поръчки посетете следния сайт на Microsoft Developer Network Web:

Например както е показано в следващата таблица, две ограничените групови правила са определени за администратори на домейн. Се определя на ниво на домейна и добавя администратори на домейн към локалната група администратори. Други се определя на ниво ОЕ и добавя домейн група администратори моите регионални деление администратори. Домейн администратори ще се добавят само моите регионални деление администраторите (по подразбиране, GPO, които са свързани в ОЕ ниво замени тези, които са дефинирани на нивото на домейн).

Таблица 2: Добавянето на същия домейн групата локални групи през GPO

Домейн група, за които дефинирате ограничени групи правила

"Член на" запис: локална група на компютри

GPO ниво, където ограничени групи се определя

Резултат

Администраторите на домейн (домейн вградена)

Администраторите (локален вградени)

Ниво на домейна

Поради как се обработват GPO домейн администратори се начислява само групата моите регионални деление администратори.

Администраторите на домейн (домейн вградена)

Моите регионални деление администраторите (локален потребителски)

ТЕ

Поради как се обработват GPO домейн администратори се начислява само групата моите регионални деление администратори.

Домейнови контролери

В по-ранните версии на Windows ако домейн контролер обработва ограничен групи правила, в която членовете раздел остава празно, всички членове са премахнати от групата когато правилото се прилага, независимо от настройката за член на. Например ако създадете ограничени групи правила на ниво домейн домейн администратори с празен раздел членове и сте включили локални администратори в член на, когато се прилага политиката, всички членове на групата на администраторите на домейн се премахват (включително на администраторския акаунт) и празен домейн група администратори се добавя към локалната група администратори.

Поведение в Windows 2000 SP4, Windows XP със Service Pack 2 (SP2) и Windows Server 2003 е отстранен. На компютър, работещ под една от следните версии на Windows, ако прилагате ограничено групи правила, които определя член на , но остават членове на празен раздел членове се игнорира и членство в група не е празен.

Ако планирате да използвате функциите на ограничени групи, активиращи се от тази актуализация за конфигуриране на домейн контролери, член сървъри и работни станции, уверете се, че те са всички изпълняват Windows 2000 SP4, Windows XP SP2 или Windows Server 2003, домейн членство в група не се променя неволно.

Член сървъри и работни станции поведение в този случай остава непроменено.

Прилагане на политики "Потребители" и "Член на" ограничени групи към локалната група

Това е най-добре да дефинирате ограничени групи правила, която добавя група домейн към локалната група и да дефинирате друг ограничени групи правила, който ограничава членството в тази локална група. Крайната членството на локалната група не очаква защото обработка на реда на две ограничени групи правила не е дефиниран. Например както е показано в следващата таблица, ако създадете ограничени групи правила, която добавя администратори на домейн към локалната група администратори и ако създадете правила за ограничени групи, който ограничава членството на групата локални администратори на администраторския акаунт, не предвидим, ако правилата или да влязат в сила. Ако домейн администратори се добавят към локалната група администратори преди администраторите членство е ограничено, домейн администратори ще бъде добавена към локалната група администратори и отстранява. Обаче ако членството в групата локални администратори е ограничен преди домейнов администратор е добавен към групата на администраторите, домейн администратори ще остане в групата локални администратори.

Таблица 3: Добавяне на група домейн към локалната група с ограничено членство

Дефинирайте ограничени групи правила за група

Запис в "Потребители"

"Член на" запис

Получената членство в група

Администраторите на домейн (домейн вградена)

Няма

Администраторите (локален вградени)

Не можете да предвидим окончателно членството в групата локални администратори.

Администраторите (локален вградени)

Администратор (локален вградени)

Няма

Не можете да предвидим окончателно членството в групата локални администратори.

Членство, която искате, използвайте членове или член на ограничено групови правила изключително. В примера в таблица 3 да получите администратори група членство, която искате, добавете домейна администраторите членове запис за локални правила за ограничени групи на групата на администраторите.

Windows 2000

Информация за сервизния пакет

За да разрешите този проблем, трябва да получите най-новия сервизен пакет за Microsoft Windows 2000. За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

как да получите най-новия сервизен пакет за Windows 2000

Информация за актуалната корекция

Поддържана функция, която променя подразбиращото се поведение на продукта се предлага от Microsoft. Въпреки това тази функция е предназначена да промени само поведението, тази статия. Приложете тази функция само за системи, които се нуждаят конкретно от нея.

Ако тази функция е налична за изтегляне, има секция "Налично изтегляне предлага" в горната част на тази статия от базата знания. Ако тази секция не се появява, свържете се с Microsoft за обслужване на клиенти и поддръжка, за да получите функцията.

Забележка: Ако възникнат допълнителни проблеми или проблеми, трябва да създадете отделна заявка за поддръжка. Обичайните такси за поддръжката ще важат за допълнителни въпроси и проблеми, които не отговарят на изискванията за тази конкретна функция. За пълен списък на телефонните номера на Microsoft за обслужване на клиенти и поддръжка или да създадете отделна заявка за поддръжка посетете следния уеб сайт на Microsoft:

Забележка: Формулярът "Налична актуална корекция изтегляне" показва езиците, за които е налична функцията. Ако не виждате вашия език, това е защото функцията не е налична за този език. Английската версия на тази актуализация има файлови атрибути (или по-нови файлови атрибути), които са изброени в следващата таблица. Датите и часовете за тези файлове са изброени в координирано световно време (UTC). При преглед на информацията за файла, преобразувана в местно време. За да намерите разликата между UTC и местното време, използвайте раздела часова зона в инструмента "дата и час" в контролния панел.

Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit За повече информация относно получаването на актуална корекция за Windows 2000 Datacenter Server щракнете върху следния номер на статия в базата знания на Microsoft:

Datacenter програма и Windows 2000 Datacenter Server продукт

За повече информация как да инсталирате няколко актуализации на Windows или спешни корекции при рестартирането само веднъж щракнете върху следния номер на статия в базата знания на Microsoft:

как да инсталирате няколко актуализации на Windows или спешни корекции само едно рестартиране на системата

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×