Actualizaciones al comportamiento de grupos restringidos ("miembro de") de los grupos locales definidos por el usuario

Nº de error: 39494 (Windows SE)

Resumen

En versiones anteriores a Microsoft Windows 2000 Service Pack 4 (SP4) de Microsoft Windows, la configuración de seguridad grupos restringidos de miembro de la directiva de grupo no puede utilizarse para agregar grupos de dominio a grupos locales en los equipos miembro. El comportamiento de grupos restringidos se actualizó en Microsoft Windows 2000 SP4, Windows Server 2003 y versiones más recientes. Microsoft Windows XP Service Pack 1 (SP1) requiere una revisión para actualizar el comportamiento de grupos restringidos, Windows Vista y versiones más recientes tienen integrada de esta actualización. Este artículo describe los cambios en la función.

Más información

Con la funcionalidad de grupos restringidos de miembro , ahora puede agregar grupos de dominio a grupos locales. Para obtener más información acerca de la característica grupos restringidos, incluidas las descripciones de los miembros y Memberof , consulte "Grupos restringidos" en la documentación del producto de Windows Server.

Windows XP

Información del Service pack

Para resolver este problema, obtenga el service pack más reciente para Windows XP. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
322389 cómo obtener el service pack más reciente para Windows XP

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma. Versión del inglés de esta característica tiene los atributos de archivo (o atributos de último archivo) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora del Panel de Control.
   Date         Time   Version        Size     File name   Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386

Agregar grupos de dominio a grupos locales

Después de haber comprobado que la característica está instalada en todos los equipos apropiados, puede utilizar la configuración de grupos restringidos de miembro para agregar un grupo de dominio a un grupo local (integrado o personalizado). Puede definir directivas de miembro para los distintos grupos en varios objetos de directiva de grupo (GPO) vinculados a cualquier sitio, cualquier dominio o cualquier unidad organizativa (OU) y todas las directivas surtan efecto. Por ejemplo, como se ilustra en la siguiente tabla, puede crear una directiva que los administradores de dominio se agrega al grupo Administradores local, y puede agregar una directiva que agrega el grupo de administradores de mi administración al grupo Administradores local. Este grupo está vinculado a un GPO de nivel de dominio. También puede crear una directiva que agrega el grupo de Mis administradores regionales de unidad organizativa para el grupo de administradores local. Este grupo está vinculado a un GPO de nivel de unidad organizativa. Se aplican todas las directivas.

Tabla 1: Agregar grupos de dominio a grupos locales
Grupo de dominio que defina una directiva de grupos restringidos paraEntrada de "Miembro de": grupo locales en equipos miembrosNivel de GPO donde se define la directiva de grupos restringidosResultado
Administradores de dominio (dominio integrada)Administradores (local integrada)Nivel de dominioGrupo de administradores contiene administradores de dominio, administradores de mi administración y Mis administradores de unidad organizativa
Los administradores de administración (dominio personalizado)Administradores (local integrada)Nivel de dominioGrupo de administradores contiene administradores de dominio, administradores de mi administración y Mis administradores de unidad organizativa
Mi administradores regionales unidad organizativa (regional OU personalizada)Administradores (local integrada)Nivel de unidad organizativaGrupo de administradores contiene administradores de dominio, administradores de mi administración y Mis administradores de unidad organizativa

Agregar el mismo grupo de dominio a grupos locales a través de GPO

Si crea varias directivas de grupos restringidos para el mismo grupo en varios GPO, sólo una directiva surtirá efecto. No combinación de directivas de grupos restringidas para el mismo grupo en los GPO. La directiva efectiva se determina por el orden de procesamiento de directiva de grupo. Para obtener información acerca de la jerarquía de directiva de grupo y orden de procesamiento, visite el siguiente sitio Web de Microsoft Developer Network:Por ejemplo, como se ilustra en la siguiente tabla, se definen dos directivas de grupo restringido para los administradores de dominio. Uno se define en el nivel de dominio y administradores de dominio agrega al grupo Administradores local. La otra se define en el nivel de unidad organizativa y el grupo Administradores de dominio agrega a mi Regional Admins de división. Administradores de dominio sólo se agregarán a mi Regional Admins de división (de forma predeterminada, los GPO vinculados a la invalidación de nivel de unidad organizativa aquellas que se definen en el nivel de dominio).

Tabla 2: Agregar el mismo grupo de dominio a grupos locales a través de GPO
Grupo de dominio para el que defina una directiva de grupos restringidosEntrada de "Miembro de": grupo locales en equipos miembrosNivel de GPO donde se define la directiva de grupos restringidosResultado
Administradores de dominio (dominio integrada)Administradores (local integrada)Nivel de dominioDebido a cómo se procesan los GPO, administradores de dominio sólo pueden agregarse al grupo Administradores de la división Regional mi.
Administradores de dominio (dominio integrada)Mi Regional Admins de división (local personalizado)UNIDAD ORGANIZATIVADebido a cómo se procesan los GPO, administradores de dominio sólo pueden agregarse al grupo Administradores de la división Regional mi.

Controladores de dominio

En versiones anteriores de Windows, si un controlador de dominio procesa una directiva de grupos restringidos en el que se deja en blanco, la sección miembros se purgan todos los miembros del grupo cuando se aplica la directiva, independientemente de la configuración de miembro de. Por ejemplo, si crea una directiva de grupos restringidos en el nivel de dominio para los administradores de dominio con una sección en blanco de los miembros e incluidos los administradores locales en miembro de, cuando se aplica la directiva, se quitan todos los miembros del grupo Administradores del dominio (incluyendo la cuenta Administrador integrada) y un grupo de administradores de dominio vacío se agrega al grupo Administradores local.

Se ha corregido el comportamiento en Windows 2000 SP4, Windows XP con Service Pack 2 (SP2) y Windows Server 2003. En un equipo que está ejecutando una de estas versiones de Windows, si se aplica una directiva de grupos restringidos que define el miembro pero deja en blanco los miembros , se omite la sección miembros y pertenencia a grupos no se vacía.

Si piensa utilizar la funcionalidad de grupos restringidos que está habilitada por esta actualización para configurar controladores de dominio, servidores miembro o estaciones de trabajo, asegúrese de que todos apuntan a Windows 2000 SP4, Windows XP SP2 o Windows Server 2003 para que no se modifica accidentalmente la pertenencia de grupo del dominio.

Para los servidores miembro y estaciones de trabajo, el comportamiento en este escenario no sufre cambios.

Aplicar directivas "Miembros" y "Miembro de" los grupos restringidos a un grupo local

Es mejor definir una directiva de grupos restringidos que agrega un grupo de dominio a un grupo local y definir otra directiva de grupos restringidos que restringe la pertenencia de ese grupo local. No se puede predecir la pertenencia de grupo final de ese grupo local porque no está definido el orden de procesamiento de las dos directivas de grupos restringidos. Por ejemplo, como se ilustra en la siguiente tabla, si crea una directiva de grupos restringidos que administradores de dominio se agrega al grupo Administradores local y si crea una directiva de grupos restringidos limita la pertenencia del grupo de administradores local a la cuenta de administrador integrada, no se puede predecir si se aplicará cualquiera de ellas. Si los administradores de dominio se agregan al grupo de administradores local antes de que se limita la pertenencia de los administradores, administradores de dominio se agregará al grupo de administradores local y, a continuación, se quitan. Sin embargo, si la pertenencia al grupo de administradores local es limitado, antes de agregar administradores de dominio al grupo Administradores, administradores de dominio permanecerán en el grupo local de administradores.

Tabla 3: Adición de un grupo de dominio a un grupo local con parámetros de pertenencia restringidos
Grupo que define una directiva de grupos restringidos paraEntrada de "Miembros"Entrada de "Miembro de"
Pertenencia al grupo resultante
Administradores de dominio (dominio integrada)NingunoAdministradores (local integrada)No se puede predecir el final de pertenencia para el grupo de administradores local.
Administradores (local integrada)Administrador (local integrada)NingunoNo se puede predecir el final de pertenencia para el grupo de administradores local.
Para obtener la membresía que desee, utilice exclusivamente los miembros o miembro de directivas de grupo restringido. En el ejemplo en la tabla 3, para obtener a los administradores de la pertenencia al grupo que desee, agregar administradores de dominio a la entrada de los miembros de la directiva de grupos restringidos de grupo de administradores local.

Windows 2000

Información del Service pack

Para resolver este problema, obtenga el service pack más reciente para Microsoft Windows 2000. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
260910 cómo obtener el service pack más reciente para Windows 2000

Información de la revisión

Está disponible en Microsoft una característica compatible que modifica el comportamiento predeterminado del producto. Sin embargo, esta característica está diseñada para modificar sólo el comportamiento que se describe en este artículo. Aplíquela sólo a sistemas que la requieran.

Si la característica está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la característica.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califica para esta característica específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de revisión disponible" muestra los idiomas para los que la característica está disponible. Si no ve su idioma, es porque la característica no está disponible para ese idioma. Versión del inglés de esta revisión tiene los atributos de archivo (o atributos de último archivo) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora del Panel de Control.
 Date        Time     Version         Size       File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit
Para obtener más información acerca de cómo obtener un hotfix para Windows 2000 Datacenter Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Producto de 265173 el programa Datacenter y Windows 2000 Datacenter Server

Para obtener más información acerca de cómo instalar varias actualizaciones o revisiones al reiniciar una sola vez, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
296861 cómo instalar varias actualizaciones o revisiones con un único reinicio

Propiedades

Id. de artículo: 810076 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios