Po snížení úrovně řadiče domény jsou ovlivněna oprávnění

Příznaky

Po snížení úrovně řadiče domény, místní skupiny domény nejsou použity pro poskytnutí přístupu k místním prostředkům. Všimněte si, že toto chování se týká pouze domén, které jsou v kombinovaném režimu. Místní skupina může stále zobrazit v seznamu řízení přístupu (ACL). Však jej nelze použít pro ověření a nelze přidat další seznamy ACL. Při uživatele, jejichž přístup byla definována pomocí místní skupiny domény se pokusí použít prostředky na serveru sníženou úrovní, uživatel může zobrazit chybová zpráva "přístup odepřen" (nebo odpovídající chybové zprávy).

Příčina

V kombinovaném režimu je obor místní skupiny domény řadiče domény. Při snížení úrovně řadiče domény spadá mimo rozsah tohoto typu skupiny. I když skupiny SID zůstane v seznamu řízení přístupu a může být vyřešen, nelze použít pro poskytování přístupu. Důvodem je, že není v přístupovém tokenu uživatele, kteří jsou přihlášeni do členské počítače domény místní skupiny. To nastane, pouze pokud je doména v nativním režimu.

Řešení

Chcete-li tento problém vyřešit, použijte některou z následujících metod:
  • Změňte režim domény na nativní režim rozšíření rozsahu skupiny na všechny členy domény. Všimněte si, že to také zabrání systému Windows NT 4.0 záložní řadiče domény replikace. V systému Windows Server 2003 Windows NT 4.0 nepodporuje úroveň funkčnosti systému Windows 2000. Na úrovni funkčnosti systému Windows 2000 jsou podporovány pouze v systému Windows 2000 a Windows 2003.
    Poznámka: Výchozí domény v prostředí systému Windows Server 2003 pracují na funkční úroveň kombinovaného režimu systému Windows 2000. Na této úrovni systému Windows NT 4.0, Windows 2000 a systémy řady Windows Server 2003 jsou všechny podporovány.
  • Vytvořte novou místní skupinu (nebo globální skupiny domény) a potom použít Active Directory Migration tool verze 2 překládat odkazy z místní skupiny domény do nově vytvořené skupiny. Můžete tak učinit pomocí funkce překladu zabezpečení pomocí souboru mapování čísel SID. Soubor mapování čísel SID obsahuje SID z domény místní skupiny a SID skupiny náhradní. Active Directory Migration tool vyhledá a nahradí (nebo přidá) starý identifikátor SID novým.
  • Můžete použít nástroj Subinacl ze Microsoft Windows NT Resource Kit.

    Další informace naleznete na následujícím webu společnosti Microsoft:

Stav

Toto chování je záměrné.

Další informace

Při použití systému Windows 2000 Server a Windows 2000 Advanced Server v kombinovaném režimu, jsou hranice pro místní skupiny domény řadiče domény pro aktuální doménu. Místní skupiny lze použít pouze k přiřazení oprávnění souborového systému Windows NT (NTFS) nebo sdílet oprávnění, například na řadičích domény pro aktuální doménu.

Při snížení úrovně řadiče domény SID místní skupiny zůstávají v seznamů řízení přístupu a lze vyřešit stále popisné názvy. Však po snížení úrovně, je nelze použít pro povolení. Také jejich nelze přidat do souboru nebo sdílené položky oprávnění dokud přepnutí domény na nativní režim.

Přepnutí do nativního režimu domény poskytuje flexibilitu skupiny Chcete-li přidat místní skupiny domény k prostředkům v řadičích domény. V systému Windows 2000 toto pravidlo platí řadiče domény systému Windows NT 4.0, které byly během procesu upgradu upgradované a vlevo jako členské servery a řadiče domény systému Windows 2000, které byla snížena úroveň.
Další informace o místní skupiny domény klepněte na níže uvedené číslo článku znalostní báze Microsoft Knowledge Base:
259392 obor místní skupiny domény v režimy práce domény systému Windows 2000
Vlastnosti

ID článku: 320230 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor