Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Berechtigungen betroffen sind, nachdem Sie einen Domänencontroller herabstufen

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 320230
Problembeschreibung
Nachdem Sie einen Domänencontroller herabstufen, werden domänenlokale Gruppen nicht für den Zugriff auf lokale Ressourcen verwendet. Beachten Sie, dass dieses Verhalten nur für Domänen gilt, die im gemischten Modus. Die lokale Gruppe möglicherweise weiterhin in der Zugriffssteuerungsliste (ACL) angezeigt. Allerdings kann nicht für die Autorisierung verwendet werden und kann andere ACLs nicht hinzugefügt werden. Wenn ein Benutzer, deren Zugriff definiert wurde, mithilfe einer Gruppe der lokalen Domäne, versucht, Ressourcen auf den herabgestuften Server zu verwenden, kann der Benutzer eine "Zugriff verweigert" Fehlermeldung (oder entsprechende Fehlermeldungen) empfangen.
Ursache
Im gemischten Modus ist der Gültigkeitsbereich der lokalen Domänengruppe die Domänencontroller. Wenn ein Domänencontroller herabgestuft wird, fällt es außerhalb des Bereichs dieses Typs Gruppe. Obwohl die Gruppe SID in der ACL verbleibt und aufgelöst werden kann, können nicht Sie für den Zugriff verwendet werden. Der Grund dafür ist, dass die Gruppe der lokalen Domäne nicht im Zugriffstoken der Benutzer, die Mitgliedscomputer angemeldet sind. Dieses Problem tritt nur wenn sich die Domäne im einheitlichen Modus befindet.
Lösung
Um dieses Verhalten zu umgehen, verwenden Sie eine der folgenden Methoden:
  • Ändern Sie den Domänenmodus in den einheitlichen Modus um den Bereich der Gruppen auf alle Domänenmitglieder zu erweitern. Beachten Sie, dass dies auch Windows NT 4.0 Sicherungs-Domänencontroller replizieren verhindert. In Windows Server 2003, Windows NT 4.0 ist in der Windows 2000-Funktionsebene nicht unterstützt. Nur Windows 2000 und Windows 2003 auf der Funktionsebene Windows 2000 unterstützt werden.
    Hinweis: Standardmäßig verwenden Domänen in einer Windows Server 2003-Umgebung auf der gemischten Domänenfunktionsebene Windows 2000. Auf dieser Ebene werden Windows NT 4.0, Windows 2000 und Windows Server 2003-Produktfamilie alle unterstützt.
  • Erstellen Sie eine neue lokale Gruppe (oder globale Gruppe der Domäne), und verwenden Sie dann Active Directory Migration Toolversion 2, um die Verweise auf die neu erstellte Gruppe aus der Gruppe der lokalen Domäne zu übersetzen. Dazu können Sie mit der Sicherheitskonvertierung mit einer SID-Zuordnungsdatei. Die SID-Zuordnungsdatei enthält die SID aus der Gruppe der lokalen Domäne und die SID für die Ersatz-Gruppe. Das Active Directory Migration-Tool durchsucht, und die alte SID durch den neuen ersetzt (oder hinzugefügt).
  • Sie können das SubInACL-Tool von Windows NT verwenden Resource Kit.

    Weitere Informationen der folgenden Microsoft-Website:
Status
Es handelt sich hierbei um ein beabsichtigtes Verhalten.
Weitere Informationen
Wenn Sie Windows 2000 Server und Windows 2000 Advanced Server im gemischten Modus verwenden, sind die Grenzen für lokale Gruppen der Domäne die Domänencontroller für die aktuelle Domäne. Die lokalen Gruppen können nur verwendet werden, weisen Windows NT File System (NTFS) Berechtigungen oder Berechtigungen, z. B. auf Domänencontrollern für die aktuelle Domäne freigeben.

Wenn ein Domänencontroller herabgestuft wird, wird die SIDs der lokalen Gruppen in der Access Control Lists verbleiben, und können weiterhin in Ihren Anzeigenamen aufgelöst werden. Allerdings können nicht nach der Herabstufung Sie für die Autorisierung verwendet werden. Sie können außerdem entweder Datei hinzugefügt werden oder Berechtigungen freigeben, bis die Domäne in den einheitlichen Modus umgeschaltet wurde.

Wechseln der Domäne zu einheitlichen Modus bietet Flexibilität Gruppe Gruppen der lokalen Domäne die Ressourcen auf nicht-Domänencontroller hinzu. Für Windows 2000 wird diese Regel auf Windows 2000-Domänencontroller, die herabgestuft wurde haben und auf Windows NT 4.0-Domänencontroller, die aktualisierten und links als Mitgliedsserver während der Aktualisierung wurden angewendet. Weitere Informationen, lokale Gruppen der Domäne folgendem Artikel der Microsoft Knowledge Base:
259392Gruppe der lokalen Domäne Bereich im Windows 2000 Vorgang Domänenmodi
ADMT v2

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 320230 – Letzte Überarbeitung: 03/02/2007 00:21:53 – Revision: 5.3

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Server SP2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Advanced Server SP1, Microsoft Windows 2000 Advanced Server SP2, Microsoft Windows 2000 Advanced Server SP3

  • kbmt kbnetwork kbprb kbui KB320230 KbMtde
Feedback