סיכום
בגירסאות של Microsoft Windows הקודמות ל- Microsoft Windows 2000 Service Pack 4 (SP4), אין אפשרות להשתמש הגדרת האבטחה קבוצות מוגבלות חבר במדיניות קבוצתית כדי להוסיף קבוצות בתחום קבוצות מקומיות במחשבים חברים. אופן הפעולה של קבוצות מוגבלות עודכן ב- Microsoft Windows 2000 SP4, Windows Server 2003 ומהדורות חדשות יותר. Microsoft Windows XP Service Pack 1 (SP1) דורש תיקון חם כדי לעדכן את אופן הפעולה של קבוצות מוגבלות, Windows Vista וחדשה יותר להיות מוכלל עדכון זה. מאמר זה מתאר את השינויים לתכונה.
מידע נוסף
עם פונקציונליות קבוצות מוגבלות חבר , כעת באפשרותך להוסיף קבוצות מחשבים לקבוצות מקומיות. לקבלת מידע נוסף אודות התכונה קבוצות מוגבלות, כולל תיאורים חברים ו Memberof , ראה "קבוצות מוגבלות" בתיעוד המוצר של Windows Server.
Windows XP
Service pack מידע
כדי לפתור בעיה זו, השג את חבילת service pack העדכנית עבור Windows XP. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
322389 כיצד להשיג את Windows XP service pack האחרונה
מידע על תיקונים חמים
תיקון חם נתמך זמין מ-Microsoft. עם זאת, תיקון חם זה מיועד לפתור רק את הבעיה המתוארת במאמר זה. יש להחיל תיקון חם זה רק במערכות שהתעוררה בהן בעיה ספציפית זו. תיקון חם זה עשוי לעבור בדיקות נוספות. לכן, אם המערכת שברשותך לא נפגעה באופן חמור מבעיה זו, מומלץ להמתין לעדכון התוכנה הבא המכיל תיקון חם זה.
אם התיקון החם זמין להורדה, ישנו סעיף "הורדת תיקון חם זמינה" בראש מאמר Knowledge Base. אם מקטע זה אינו מופיע, פנה לשירות הלקוחות והתמיכה של Microsoft כדי לקבל את התיקון החם.
הערה אם בעיות נוספות מתרחשות או אם נדרש פתרון בעיות כלשהו, ייתכן שתצטרך ליצור בקשת שירות נפרדת. דמי התמיכה המקובלים יחולו על שאלות וסוגיות תמיכה נוספות אשר אינן מצריכות את התיקון חם הספציפי הזה. לקבלת רשימה מלאה של מספרי הטלפון של התמיכה ושירות הלקוחות של Microsoft או כדי ליצור בקשת שירות נפרדת, בקר באתר האינטרנט הבא של Microsoft:
http://support.microsoft.com/contactus/?ws=supportהערה הטופס "הורדת תיקון חם זמינה" מציג את השפות שעבורן התיקון החם זמין. אם אינך רואה את השפה שלך, הסיבה לכך היא שהתיקון חם אינו זמין עבור שפה זו. הגירסה ה-אנגלית של תכונה זו היא בעלת תכונות הקובץ (או תכונות קובץ מתקדמות יותר) המפורטות בטבלה הבאה. התאריכים והשעות המתייחסים לקבצים הללו רשומים לפי זמן אוניברסלי מתואם (UTC). כשמציגים את פרטי הקובץ, היא מומרת לזמן המקומי. כדי לברר את הפרש השעות בין זמן UTC לזמן המקומי, השתמש בכרטיסייה אזור זמן בכלי תאריך ושעה בלוח הבקרה.
Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
הוספת קבוצות מחשבים לקבוצות מקומיות
לאחר שווידאת כי התכונה מותקנת בכל המחשבים המתאימים, באפשרותך להשתמש בהגדרה קבוצות מוגבלות חבר כדי להוסיף קבוצת מחשבים לקבוצה מקומית (מוכלל או מותאם אישית). באפשרותך להגדיר פריטי מדיניות של חבר עבור קבוצות נפרדות מרובות אובייקטי מדיניות קבוצתית (Gpo) שאינם מקושרים בכל אתר, קבוצת מחשבים או כל יחידה ארגונית (OU), ואת כל פריטי המדיניות ייכנסו לתוקף. לדוגמה, כפי שמודגם בטבלה הבאה, באפשרותך ליצור מדיניות המוסיפה Domain Admins לקבוצה Administrators המקומית וכן באפשרותך להוסיף מדיניות המוסיפה קבוצת המנהלים ניהול שלי לקבוצה Administrators המקומית. קבוצה זו המקושר ל- GPO ברמת התחום. באפשרותך גם ליצור מדיניות אשר מוסיפה את הקבוצה היחידה הארגונית שלי אזוריות-המנהלים לקבוצה Administrators המקומית. קבוצה זו מקושרת של GPO ברמת היחידה הארגונית. כל פריטי המדיניות נאכפות.
טבלה 1: הוספת קבוצות מחשבים לקבוצות מקומיות
|
קבוצת המחשבים שאתה מגדיר מדיניות קבוצות מוגבלות |
הערך "חבר": קבוצה מקומית במחשבים חברים |
רמת ה-GPO שבו מוגדר מדיניות קבוצות מוגבלות |
התוצאה |
|---|---|---|---|
|
Domain Admins (תחום מוכללים) |
מנהלי מערכת (מקומי מוכלל) |
רמת תחום |
בקבוצה administrators מכיל Domain Admins, המנהלים ניהול שלי ואת המנהלים היחידה הארגונית שלי |
|
המנהלים שלי-ניהול (תחום מותאמת אישית) |
מנהלי מערכת (מקומי מוכלל) |
רמת תחום |
בקבוצה administrators מכיל Domain Admins, המנהלים ניהול שלי ואת המנהלים היחידה הארגונית שלי |
|
שלי ארגונית היחידה אזוריות המנהלים (אזוריות OU מותאם אישית) |
מנהלי מערכת (מקומי מוכלל) |
רמת OU |
בקבוצה administrators מכיל Domain Admins, המנהלים ניהול שלי ואת המנהלים היחידה הארגונית שלי |
הוספת באותה קבוצת מחשבים לקבוצות מקומיות על-פני אובייקטי מדיניות קבוצתית
אם אתה יוצר מדיניות קבוצות מוגבלות מרובים עבור אותה קבוצה ב- Gpo מרובים, מדיניות אחת בלבד ייכנסו לתוקף. מדיניות קבוצות מוגבלות עבור אותה קבוצה אל תמזג בין אובייקטי Gpo. מדיניות יעילה נקבע לפי הסדר של עיבוד מדיניות קבוצתית. לקבלת מידע אודות מדיניות קבוצתית הירארכיה סדר עיבוד, בקר באתר הבא של Microsoft מפתח רשת:
http://msdn2.microsoft.com/en-us/library/aa374155.aspxלדוגמה, כפי שמודגם בטבלה הבאה, שני סעיפי מדיניות קבוצה מוגבלת מוגדרות עבור Domain Admins. אחת מוגדרת ברמת התחום ומוסיף Domain Admins בקבוצה Administrators המקומית. האחר מוגדר ברמת היחידה הארגונית ומוסיף את הקבוצה Domain Admins המנהלים חטיבה האזוריות שלי. Domain Admins רק יתווסף אל המנהלים חטיבה האזוריות שלי (כברירת מחדל, אובייקטי Gpo המקושרים בכל העקיפה ברמת היחידה הארגונית אלה המוגדרים ברמת קבוצת המחשבים).
טבלה 2: הוספת באותה קבוצת מחשבים לקבוצות מקומיות על-פני אובייקטי מדיניות קבוצתית
|
קבוצת המחשבים שעבורם אתה מגדיר מדיניות קבוצות מוגבלות |
הערך "חבר": קבוצה מקומית במחשבים חברים |
רמת ה-GPO שבו הוגדרה מדיניות קבוצות מוגבלות |
התוצאה |
|---|---|---|---|
|
Domain Admins (תחום מוכללים) |
מנהלי מערכת (מקומי מוכלל) |
רמת תחום |
בשל אופן מעובדות אובייקטי Gpo, Domain Admins יתווסף רק לקבוצה ' מנהלים ' חטיבה האזוריות שלי. |
|
Domain Admins (תחום מוכללים) |
מנהלים חטיבה האזוריות שלי (מקומי מותאם אישית) |
OU |
בשל אופן מעובדות אובייקטי Gpo, Domain Admins יתווסף רק לקבוצה ' מנהלים ' חטיבה האזוריות שלי. |
בקרי קבוצות מחשבים
בגירסאות קודמות של Windows, אם בקר קבוצת מחשבים מעבדת מדיניות קבוצות מוגבלות שבה המקטע חברים נשאר ריק, כל החברים בה נמחקים מהקבוצה כאשר המדיניות מוחלת, ללא תלות בהגדרה עבור חבר. לדוגמה, אם אתה יוצר מדיניות קבוצות מוגבלות ברמת קבוצת המחשבים של Domain Admins עם מקטע חברים ריקה אם כללת מנהלים מקומיים חבר, כאשר המדיניות מוחלת, כל חברי הקבוצה Domain Admins מוסרים (כולל חשבון מנהל המערכת המוכלל), ואת קבוצה ריקה Domain Admins נוספת לקבוצה administrators המקומית.
ההתנהגות ב- Windows 2000 SP4, Windows XP עם Service Pack 2 (SP2), ו- Windows Server 2003 תוקנה. במחשב שבו פועלת אחת מהגירסאות הללו של Windows, אם תחיל מדיניות קבוצות מוגבלות מגדיר חבר אך ישאיר חברים ריקה, המקטע חברים מתעלמת חברות בקבוצה לא תתרוקן.
אם אתה מתכנן להשתמש בפונקציונליות קבוצות מוגבלות זמינה על-ידי עדכון זה כדי לקבוע את התצורה של בקרי קבוצות מחשבים, שרתים עמיתים או בתחנות עבודה, ודא כי כל שברשותם Windows 2000 SP4, Windows XP SP2 או Windows Server 2003 כך חברות בקבוצת מחשבים לא השתנה בטעות.
עבור תחנות עבודה ושרתים חבר, אופן הפעולה בתרחיש זה נותר ללא שינוי.
החלת פריטי מדיניות "חברים" ו "חבר" קבוצות מוגבלות לקבוצה מקומית
מומלץ להגדיר מדיניות קבוצות מוגבלות המוסיפה קבוצת מחשבים לקבוצה מקומית וכדי להגדיר מדיניות קבוצות מוגבלות אחרת המגבילה את החברות בקבוצה המקומית זה. אין אפשרות נצפה החברות בקבוצה הסופי של אותה קבוצה מקומית מכיוון סדר עיבוד של שני סוגי מדיניות קבוצות מוגבלות אינה מוגדרת. לדוגמה, כפי שמודגם בטבלה הבאה, אם אתה יוצר מדיניות קבוצות מוגבלות המוסיפה Domain Admins לקבוצה Administrators המקומית ומגביל אם אתה יוצר מדיניות קבוצות מוגבלות אשר חברות בקבוצה Administrators המקומית אל חשבון ה-Administrator המוכלל, אין באפשרותך לחזות אם אחת מהן ייאכפו. אם Domain Admins מתווספים לקבוצה Administrators המקומית לפני חברות מנהלים הוא מוגבל, Domain Admins נוספת לקבוצה Administrators המקומית ולאחר מכן מוסר. עם זאת, אם החברות בקבוצה Administrators המקומית מוגבל לפני Domain Admins נוספת לקבוצה Administrators, Domain Admins יישאר בקבוצה Administrators המקומית.
טבלה 3: הוספת קבוצת מחשבים לקבוצה מקומית עם חברות מוגבלת
|
הקבוצה הגדרת מדיניות קבוצות מוגבלות |
הערך "חברים" |
הערך "חבר" |
חברות בקבוצה המתקבל |
|---|---|---|---|
|
Domain Admins (תחום מוכללים) |
ללא |
מנהלי מערכת (מקומי מוכלל) |
אין אפשרות לחזות את החברות בקבוצה הסופי בקבוצה Administrators המקומית. |
|
מנהלי מערכת (מקומי מוכלל) |
מנהל (מקומי מוכלל) |
ללא |
אין אפשרות לחזות את החברות בקבוצה הסופי בקבוצה Administrators המקומית. |
כדי להשיג את החברות הרצוי, השתמש חברים או מדיניות קבוצה מוגבלת של חבר באופן בלעדי. בדוגמה 3 טבלה, כדי לקבל מנהלי חברות בקבוצה הרצויה, הוסף Domain Admins לערך חברים עבור מדיניות קבוצות מוגבלות קבוצת מנהלים מקומיים.
Windows 2000
Service pack מידע
כדי לפתור בעיה זו, השג את חבילת service pack העדכנית עבור Microsoft Windows 2000. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
260910 כיצד להשיג את חבילת service pack העדכנית של Windows 2000
מידע על תיקונים חמים
תכונה נתמכת המשנה את התנהגות ברירת המחדל של המוצר זמינה מ- Microsoft. עם זאת, תכונה זו מיועדת לשנות רק את ההתנהגות המתוארת במאמר זה. להחיל תכונה זו רק במערכות הדורשות זאת במיוחד.
אם התכונה זמינה להורדה, ישנו סעיף "הורדת תיקון חם זמינה" בראש מאמר Knowledge Base. אם מקטע זה אינו מופיע, פנה לשירות הלקוחות של Microsoft ותמיכה כדי להשיג את התכונה.
הערה אם בעיות נוספות מתרחשות או אם נדרש פתרון בעיות כלשהו, ייתכן שתצטרך ליצור בקשת שירות נפרדת. דמי התמיכה המקובלים יחולו על נוספים שאלות וסוגיות תמיכה אשר אינן מצריכות בתכונה הספציפית הזו. לקבלת רשימה מלאה של מספרי הטלפון של התמיכה ושירות הלקוחות של Microsoft או כדי ליצור בקשת שירות נפרדת, בקר באתר האינטרנט הבא של Microsoft:
http://support.microsoft.com/contactus/?ws=supportהערה הטופס "הורדת תיקון חם זמינה" מציג את השפות שעבורן התכונה זמינה. אם אינך רואה את השפה שלך, הסיבה לכך היא התכונה אינו זמין עבור שפה זו. הגירסה האנגלית של תיקון חם זה כוללת את תכונות הקובץ (או תכונות קובץ מתקדמות יותר) המפורטות בטבלה הבאה. התאריכים והשעות המתייחסים לקבצים הללו רשומים לפי זמן אוניברסלי מתואם (UTC). כשמציגים את פרטי הקובץ, היא מומרת לזמן המקומי. כדי לברר את הפרש השעות בין זמן UTC לזמן המקומי, השתמש בכרטיסייה אזור זמן בכלי תאריך ושעה בלוח הבקרה.
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit לקבלת מידע נוסף אודות אופן ההשגה של תיקון חם עבור Windows 2000 Server מרכז הנתונים, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
מוצר 265173 התוכנית מרכז הנתונים ו- Windows 2000 Server מרכז הנתונים
לקבלת מידע נוסף אודות התקנת עדכוני Windows או תיקונים חמים מרובים בעת הפעלה מחדש פעם אחת בלבד, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
296861 כיצד להתקין עדכונים של Windows או תיקונים חמים מרובים בפעולת אתחול מחדש אחת בלבד
