Los permisos se ven afectados cuando degrada un controlador de dominio

Síntomas

Después de degradar un controlador de dominio, los grupos locales de dominio no se utilizan para proporcionar acceso a los recursos locales. Tenga en cuenta que este comportamiento sólo se aplica a los dominios de modo mixto. El grupo local siga apareciendo en la lista de control de acceso (ACL). Sin embargo, no se puede utilizar para la autorización y no puede agregarse a las otras LCA. Cuando un usuario cuyo acceso se ha definido mediante el uso de un grupo local de dominio intenta utilizar recursos en el servidor degradado, el usuario puede recibir un mensaje de error "acceso denegado" (o mensajes de error equivalente).

Causa

En modo mixto, el ámbito de grupo local de dominio es los controladores de dominio. Cuando se degrada un controlador de dominio, esté fuera del alcance de este tipo de grupo. Aunque el grupo SID permanece en la ACL y se puede resolver, no pueden utilizarse para conceder acceso. La razón es que no es el grupo local de dominio en el token de acceso de los usuarios que inician sesión en los equipos miembro. Esto sólo ocurre cuando el dominio está en modo nativo.

Solución

Para evitar este comportamiento, utilice cualquiera de los métodos siguientes:
  • Cambiar el modo de dominio al modo nativo para ampliar el ámbito de los grupos a todos los miembros del dominio. Tenga en cuenta que esto también impide que los controladores de dominio de copia de seguridad de Windows NT 4.0 replican. En Windows Server 2003, Windows NT 4.0 no es compatible en el nivel funcional de Windows 2000. Sólo Windows 2000 y Windows 2003 son compatibles con el nivel funcional de Windows 2000.
    Nota: De forma predeterminada, los dominios en un entorno de Windows Server 2003 funcionan en el nivel funcional mixto de Windows 2000. En este nivel, Windows NT 4.0, Windows 2000 y la familia Windows Server 2003 son todos compatibles.
  • Crear un nuevo grupo local (o el grupo global de dominio) y, a continuación, utilice la versión 2 de la herramienta de migración para Active Directory para traducir las referencias del grupo local de dominio al grupo recién creado. Puede hacerlo mediante la característica de conversión de seguridad con un archivo de asignación SID. El archivo de asignación SID contiene el SID del grupo local de dominio y el SID para el grupo de reemplazo. La herramienta de migración para Active Directory busca y reemplaza el antiguo SID con el nuevo (o agrega).
  • Puede utilizar la herramienta Subinacl desde el Kit de recursos de Microsoft Windows NT.

    Para obtener más información, visite el siguiente sitio Web de Microsoft:

Estado

Este comportamiento es por diseño.

Más información

Cuando se utiliza Windows 2000 Server y Windows 2000 Advanced Server en modo mixto, los límites de los grupos locales de dominio son los controladores de dominio para el dominio actual. Los grupos locales sólo pueden utilizarse para asignar permisos de sistema de archivos de Windows NT (NTFS) o permisos de recurso compartido, por ejemplo, en los controladores de dominio para el dominio actual.

Cuando se degrada un controlador de dominio, los SID de los grupos locales permanecen en las listas de control de acceso y puede resolverse a sus nombres descriptivos. Sin embargo, después de la degradación no se puede utilizar para la autorización. Además, no pueden agregarse a los permisos de archivo o recurso compartido hasta que se cambia el dominio a modo nativo.

Cambiar el dominio a modo nativo proporciona la flexibilidad de grupo para agregar grupos de dominio locales a los recursos de los controladores de dominio no. Para Windows 2000, esta regla se aplica a controladores de dominio de Windows 2000 que se han degradado y a controladores de dominio de Windows NT 4.0 que se han actualizado e izquierdo como miembro servidores durante el proceso de actualización.
Para obtener información adicional acerca de los grupos locales de dominio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Ámbito de grupo de dominio Local de 259392 en modos de operación de dominio de Windows 2000
Propiedades

Id. de artículo: 320230 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios