Berechtigungen sind betroffen, wenn Sie einen Domänencontroller herabstufen

Problembeschreibung

Nachdem Sie einen Domänencontroller herabstufen, werden lokale Domänengruppen ohne Zugriff auf lokale Ressourcen. Beachten Sie, dass dieses Verhalten nur für Domänen, die im gemischten Modus. Die lokale Gruppe kann weiterhin in der Zugriffssteuerungsliste (ACL) angezeigt. Allerdings kann nicht für die Autorisierung verwendet werden und alle ACLs hinzugefügt werden. Wenn ein Benutzer, dessen Zugriff definiert wurde, mit einer lokalen Domänengruppe, versucht, Ressourcen auf den herabgestuften Server verwenden, erhalten der Benutzer eine Fehlermeldung "Zugriff verweigert" (oder entsprechende Fehlermeldungen).

Ursache

Im gemischten Modus ist der Bereich der Gruppe der lokalen Domäne Domänencontroller. Wenn ein Domänencontroller herabgestuft wird, fällt es Gültigkeitsbereich dieser Gruppentyp. Obwohl die Gruppe SID in der ACL bleibt und aufgelöst werden kann, können sie für den Zugriff verwendet werden. Der Grund ist, dass lokale Domänengruppe nicht im Zugriffstoken der Benutzer, die auf Computern angemeldet sind. Dies tritt nur auf, wenn die Domäne im einheitlichen Modus befindet.

Problemlösung

Um dieses Verhalten zu umgehen, verwenden Sie eine der folgenden Methoden:
  • Ändern Sie den Domänenmodus in den einheitlichen Modus für alle Domänenmitglieder Gruppen erweitern. Beachten Sie, dass dies auch Windows NT 4.0-Sicherungsdomänencontroller Replikation verhindert. In Windows Server 2003 wird Windows NT 4.0 in der Funktionsebene Windows 2000 nicht unterstützt. Nur Windows 2000 und Windows 2003 werden auf der Funktionsebene Windows 2000 unterstützt.
    Hinweis Standardmäßig verwenden Domänen in einer Windows Server 2003-Umgebung auf Windows 2000-Gemischter. Auf dieser Ebene werden Windows NT 4.0, Windows 2000 und Windows Server 2003-Produktfamilie alle unterstützt.
  • Erstellen Sie eine neue lokale Gruppe (oder globale Gruppe der Domäne) und können Sie Active Directory Migration Tool Version 2 die Verweise aus der lokalen Domänengruppe der neu erstellten Gruppe. Dazu Sicherheitskonvertierungs-Funktion mit einer SID-Zuordnungsdatei. SID-Zuordnungsdatei enthält die von der lokalen Domänengruppe und die SID für die Ersatzgruppe. Active Directory Migration Tool sucht und die alte SID durch die neue ersetzt (oder hinzugefügt).
  • Sie können das Subinacl-Tool von Microsoft Windows NT Resource Kit.

    Weitere Informationen finden Sie auf der folgenden Microsoft-Website:

Status

Dieses Verhalten ist entwurfsbedingt.

Weitere Informationen

Bei Verwendung von Windows 2000 Server und Windows 2000 Advanced Server im gemischten Modus sind die Grenzen für die Gruppen der lokalen Domäne Domänencontroller der aktuellen Domäne. Lokalen Gruppen können nur auf Windows NT-Dateisystem (NTFS) Berechtigungen oder Freigabeberechtigungen, z. B. auf Domänencontrollern für die aktuelle Domäne verwendet werden.

Wenn ein Domänencontroller herabgestuft wird, die SIDs der lokalen Gruppen bleiben in den Zugriffssteuerungslisten und noch ihren Anzeigenamen aufgelöst werden kann. Allerdings können nach der Herabstufung sie für die Autorisierung verwendet werden. Außerdem können sie Datei oder Freigabe Berechtigungen hinzugefügt werden, bis die Domäne in den einheitlichen Modus umgeschaltet wird.

Wechseln der Domäne in den einheitlichen Modus flexible Gruppe lokale Gruppen der Domäne auf die Ressourcen nicht Domänencontroller hinzufügen. Für Windows 2000 gilt diese Windows 2000-Domänencontroller herabgestuft wurde und Windows NT 4.0-Domänencontroller aktualisiert und Links Mitgliedsserver während der Aktualisierung wurden.
Weitere Informationen über lokale Domänengruppen finden Sie der Microsoft Knowledge Base:
259392 lokale Domänengruppe Bereich Betriebsmodi für Windows 2000-Domäne
Eigenschaften

Artikelnummer: 320230 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback