Eingeschränkte Gruppen ("Mitglied") Verhalten lokaler Gruppen benutzerdefinierte Updates

Gilt für: Microsoft Windows Server 2003 Service Pack 2Windows Server 2008 StandardWindows Server 2008 Enterprise

Zusammenfassung


In Microsoft Windows-Versionen vor Microsoft Windows 2000 Service Pack 4 (SP4) kann die eingeschränkte Gruppen Mitglied sicherheitseinstellung lokale Gruppen auf Computern Domänengruppen hinzufügen verwendet werden. Eingeschränkte Gruppen Verhalten wurde in Microsoft Windows 2000 SP4, Windows Server 2003 und neueren Versionen aktualisiert. Microsoft Windows XP Service Pack 1 (SP1) erfordert einen Hotfix eingeschränkte Gruppen Verhalten, Windows Vista zu aktualisieren und dieses Update integriert haben. Dieser Artikel beschreibt das Feature ändert.

Weitere Informationen


Mit den Funktionen eingeschränkte Gruppen Mitglied können Sie lokale Gruppen nun Domänengruppen hinzufügen. Weitere Informationen über das Feature eingeschränkte Gruppen, einschließlich der Mitglieder und Mitglied Beschreibung finden Sie unter "Eingeschränkte Gruppen" in der Windows Server-Produktdokumentation.

Windows XP

Service Pack-Informationen

Um dieses Problem zu beheben, beziehen Sie das neueste Servicepack für Windows XP. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
322389 wie Sie das neueste Servicepack für Windows XP erhalten

Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar. Die englische Version dieses Features ist Dateiattribute (oder höher), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu suchen, können Sie mithilfe die Registerkarte Zeitzone Datum und Uhrzeit im Systemsteuerungsprogramm.

Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386

Gruppen der lokalen Domänengruppen hinzufügen

Nachdem Sie überprüft haben, dass die Funktion für alle entsprechenden Computer installiert ist, können Sie die Einstellung Eingeschränkte Gruppen Mitglied , eine lokale Gruppe (integrierte oder benutzerdefinierte) eine Domänengruppe hinzufügen. Können Richtlinien für Gruppen Mitglied in mehrere Gruppenrichtlinienobjekte (GPOs), die mit einer Website, einer Domäne oder eine Organisationseinheit (OU) und alle Richtlinien wirksam. Beispielsweise wie in der folgenden Tabelle dargestellt, können eine Richtlinie, die Domänen-Admins zur lokalen Administratorengruppe hinzugefügt und können eine Richtlinie, die der lokalen Administratorgruppe eigene Management-Administratorengruppe hinzugefügt. Diese Gruppe ist mit einem Gruppenrichtlinienobjekt auf Domänenebene verknüpft. Sie können auch eine Richtlinie erstellen, die die eigene organisatorische Einheit Gruppe zur lokalen Administratorengruppe hinzugefügt. Diese Gruppe ist ein Gruppenrichtlinienobjekt mit Organisationseinheiten verknüpft. Alle Richtlinien werden umgesetzt.

Tabelle 1: Lokale Gruppen Domänengruppen hinzufügen
Domänengruppe, die Richtlinie für eingeschränkte Gruppen definierenEintrag "Mitglied": lokale Gruppe auf MitgliedscomputernGPO-Ebene, in die Richtlinie für eingeschränkte Gruppen definiert istErgebnis
Domänen-Admins (integrierte Domäne)Administratoren (lokale integriert)DomäneAdministratorengruppe enthält Domänenadministratoren, eigene Management-Admins und eigene Organisationseinheiten Geschäftsbereichs-Admins
Mein Management-Admins (benutzerdefinierte Domäne)Administratoren (lokale integriert)DomäneAdministratorengruppe enthält Domänenadministratoren, eigene Management-Admins und eigene Organisationseinheiten Geschäftsbereichs-Admins
Meine organisatorische Einheit Regional-Admins (regionale oder Benutzerdefiniert)Administratoren (lokale integriert)OU-EbeneAdministratorengruppe enthält Domänenadministratoren, eigene Management-Admins und eigene Organisationseinheiten Geschäftsbereichs-Admins

Lokale Gruppen hinzufügen über Gruppenrichtlinienobjekte derselben Domänengruppe

Wenn Sie mehrere eingeschränkte Gruppen Richtlinien für eine Gruppe mehrere Gruppenrichtlinienobjekte erstellen, wird nur eine Richtlinie wirksam. Eingeschränkte Gruppenrichtlinien für eine Gruppe verbinden über Gruppenrichtlinienobjekte nicht. Effektive Richtlinie bestimmt die Reihenfolge der Verarbeitung von Gruppenrichtlinien. Informationen über Gruppenrichtlinien Hierarchie und die Verarbeitungsreihenfolge finden Sie auf der folgenden Microsoft Developer Network-Website:Wie in der folgenden Tabelle werden zwei eingeschränkte Gruppen Richtlinien für Domänenadministratoren definiert. Eine auf Domänenebene definiert und Domänen-Admins der lokalen Administratorgruppe hinzugefügt. Der Organisationseinheitsebene definiert und eigene regionale Division-Admins Domänen-Admins hinzugefügt. Domänenadministratoren werden nur eigene Regional-Admins Division (standardmäßig Gruppenrichtlinienobjekte OU Ebene überschreiben die verknüpft sind, die auf Domänenebene definiert) hinzugefügt werden.

Tabelle 2: Hinzufügen derselben Domänengruppe über Gruppenrichtlinienobjekte zu lokalen Gruppen
Domänengruppe für die Richtlinie Eingeschränkte Gruppen definierenEintrag "Mitglied": lokale Gruppe auf MitgliedscomputernGPO-Ebene, Richtlinie Eingeschränkte Gruppen definiert istErgebnis
Domänen-Admins (integrierte Domäne)Administratoren (lokale integriert)DomäneDurch der Gruppenrichtlinienobjekte Verarbeitung werden Domänen-Admins nur die eigene Abteilung Gruppe hinzugefügt werden.
Domänen-Admins (integrierte Domäne)Meine regionalen Administratoren Division (lokaler Benutzerdefiniert)ORGANISATIONSEINHEITDurch der Gruppenrichtlinienobjekte Verarbeitung werden Domänen-Admins nur die eigene Abteilung Gruppe hinzugefügt werden.

Domänencontroller

In früheren Versionen von Windows Domänencontroller eine eingeschränkte Gruppenrichtlinie verarbeitet in dem Mitgliederbereich leer ist, werden alle Mitglieder aus der Gruppe gelöscht Wenn unabhängig von der Einstellung fürdie Richtlinie angewendet. Z. B. Wenn Sie eine Richtlinie für eingeschränkte Gruppen auf Domänenebene für Domänenadministratoren mit leeren Elemente erstellen Sie lokale Administratoren in Memberenthalten, wenn die Richtlinie angewendet wird, werden alle Mitglieder der Gruppe Domänen-Admins entfernt (einschließlich das vordefinierte Administratorkonto) und eine leere Domänenadministratorgruppe-Admins der lokalen Administratorgruppe hinzugefügt.

Das Verhalten in Windows 2000 SP4, Windows XP mit Service Pack 2 (SP2) und Windows Server 2003 wurde korrigiert. Auf einem Computer, der eine dieser Versionen von Windows ausgeführt wird, wenn Anwenden einer Richtlinie für eingeschränkte Gruppen, die Mitglied definiert, aber Mitglieder leer lässt, Mitgliederbereich ignoriert und Gruppenmitgliedschaft nicht geleert.

Wenn Sie eingeschränkte Gruppen-Funktionen verwenden, die durch dieses Update aktiviert ist, Domänencontroller, Mitgliedsserver und Arbeitsstationen konfigurieren möchten, stellen Sie sicher, dass sie alle Windows 2000 SP4, Windows XP SP2 oder Windows Server 2003 ausgeführt werden, damit Domäne Gruppenmitgliedschaft nicht versehentlich geändert wird.

Für Mitgliedsserver und Arbeitsstationen unverändert Verhalten in diesem Szenario.

Eine lokale Gruppe "Mitglieder" und "Mitglied" Eingeschränkte Gruppen Richtlinien zuweisen

Es wird empfohlen, eine Richtlinie für eingeschränkte Gruppen definieren, die Gruppe einer Domäne zu einer lokalen Gruppe hinzugefügt und einer anderen Richtlinie Eingeschränkte Gruppen definieren, die Mitgliedschaft in der lokalen Gruppe beschränkt. Die endgültige Gruppenmitgliedschaft dieser lokalen Gruppe kann nicht vorhergesagt werden, da die Verarbeitungsreihenfolge von zwei eingeschränkte Gruppen Richtlinien nicht definiert ist. Beispielsweise können nicht wie in der folgenden Tabelle erstellen Sie eine Richtlinie für eingeschränkte Gruppen, die Domänen-Admins mit der Gruppe der lokalen Administratoren hinzugefügt, und Erstellen einer Richtlinie Eingeschränkte Gruppen, die Mitglied der lokalen Gruppe Administratoren das integrierte Administratorkonto beschränkt, Sie vorhersagen, ob eine Richtlinie erzwungen wird. Domänen-Admins der lokalen Administratorgruppe hinzugefügt vor die Mitgliedschaft Administratoren begrenzt ist, werden Domänen-Admins zur Gruppe lokalen Administratoren hinzugefügt und dann entfernt. Wenn die lokale Administratorengruppe beschränkt ist, Domänen-Admins der Administratorgruppe hinzugefügt, Domänen-Admins in der lokalen Gruppe Administratoren bleibt.

Tabelle 3: Hinzufügen einer Domänengruppe einer lokalen Gruppe mit eingeschränkter Mitgliedschaft
Eine Richtlinie für eingeschränkte Gruppen für definieren GruppeEintrag "Mitglieder"Eintrag "Mitglied"
Resultierende Gruppenmitgliedschaft
Domänen-Admins (integrierte Domäne)KeineAdministratoren (lokale integriert)Die endgültige Gruppenmitgliedschaft für die lokale Gruppe Administratoren kann nicht vorhergesagt werden.
Administratoren (lokale integriert)Administrator (lokale integriert)KeineDie endgültige Gruppenmitgliedschaft für die lokale Gruppe Administratoren kann nicht vorhergesagt werden.
Um die Mitgliedschaft abzurufen, verwenden Sie ausschließlich Mitgliedern oder Mitglied der eingeschränkten Gruppe Richtlinien. Addieren Sie im Beispiel in Tabelle 3 Administratoren Gruppenmitgliedschaft die gewünschte Domänenadministratoren Mitglieder Eintrag für die lokale Gruppenrichtlinie eingeschränkte Gruppen Administratoren.

Windows 2000

Service Pack-Informationen

Um dieses Problem zu beheben, beziehen Sie das neueste Servicepack für Microsoft Windows 2000. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
260910 wie Sie das neueste Servicepack für Windows 2000 erhalten

Hotfix-Informationen

Eine Funktion, die das Standardverhalten des Produkts modifiziert, ist von Microsoft erhältlich. Dieses Feature soll jedoch nur dasjenige Verhalten ändern, das in diesem Artikel beschrieben ist. Verwenden Sie diese Funktion nur auf Systemen, die speziell diese Funktion benötigen.

Ist die Funktion zum Download zur Verfügung, gibt es ein Abschnitt "Hotfixdownload available" am Anfang dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an Microsoft Customer Service and Support, um die Funktion zu beziehen.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gilt für zusätzliche Supportfragen und Probleme, die nicht auf diese spezielle Funktion zu qualifizieren. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:Hinweis Formular "Hotfixdownload available" zeigt die Sprachen an, für die die Funktion verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, denn das Feature nicht für diese Sprache verfügbar ist. Die englische Version dieses Hotfix Dateiattribute (oder höher) ist in der folgenden Tabelle aufgeführt. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu suchen, können Sie mithilfe die Registerkarte Zeitzone Datum und Uhrzeit im Systemsteuerungsprogramm.

Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit
Weitere Informationen zu Updates für Windows 2000 Datacenter Server klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
265173 das Datacenter-Programm und das Windows 2000 Datacenter Server-Produkt

Weitere Informationen zum Installieren von mehreren Windows-Updates oder Hotfixes bei nur einem Neustart klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
296861 von mehreren Windows-Updates oder Hotfixes mit nur einem Neustart zu installieren