Grupo principal de configuración evita que el usuario la pertenencia al grupo en Active Directory

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 275523
Síntomas
Cuando Ver Active Directory con una utilidad de Protocolo ligero de acceso a directorios (LDAP), como LDP.exe, el atributo de miembros no se rellena con el grupo principal.

El atributo memberof del objeto usuario no se rellena con el nombre del grupo. Esto puede causar problemas si programas no consultar Active Directory para el atributo PrimaryGroupID y sólo para el atributo de miembros del grupo.
Causa
Este comportamiento se produce porque Microsoft Windows 2000 tiene una limitación de pertenencia a grupo de 5000 usuarios. Este comportamiento es debido a una limitación en el tamaño del atributo que se replica. El grupo principal permite a un grupo por usuario para que contenga más de 5000 usuarios. De forma predeterminada, cada usuario es un miembro del grupo usuarios del dominio.

El modo de bosque de Microsoft Windows Server 2003 elimina esta limitación de pertenencia a grupo. Sin embargo, el grupo principal todavía se utiliza en la misma manera.
Solución
Para resolver este comportamiento, cree un atributo independiente denominado PrimaryGroupID. Al hacerlo, todos los usuarios puede ser un miembro del grupo global usuarios de dominio, pero en lugar de forma explícita los agregar a la pertenencia de usuarios del dominio, asignar al usuario un valor para este grupo en el valor de PrimaryGroupID. El valor de PrimaryGroupID es el RID del grupo que se asigna como grupo principal del usuario.
Para asegurarse de que el usuario tiene el acceso apropiado a los recursos en el dominio, no sólo calcular pertenencia basada en el atributo memberof, también de consultar el valor de PrimaryGroupID de las cuentas de usuario. Cuando hace esto, cree token del usuario y, incluir el grupo principal en el proceso de inicio de sesión para todos los grupos de que el usuario es un miembro.

También deben consultar programas que necesitan para grupos de consulta para dar acceso basado en la pertenencia a grupos de usuarios para el atributo PrimaryGroupID.

Si más de 5000 usuarios necesitan agregarse a un grupo, evitar la limitación de miembro de 5000 para grupos utilizando grupos anidados bajo un grupo principal (principal).
Más información
El principal identificador de grupo (PrimaryGroupID) es un valor de entero que representa el identificador de grupo primario para este usuario.

En el ejemplo siguiente se describe cómo obtener el atributo de usuario PrimaryGroupID mediante secuencia de comandos de Microsoft Visual Basic (VB):
   Set usr = GetObject("WinNT://TestDomain/JSmith")   UserID = usr.Get("PrimaryGroupID")   MsgBox "The User's Primary Group ID is:"& UserID				
permisos

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 275523 - Última revisión: 10/11/2007 02:31:10 - Revisión: 3.2

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbmt kbenv kbprb KB275523 KbMtes
Comentarios