Criteri di gruppo non sono da filtrare per gruppi locali di dominio

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

309172
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sommario
Oggetti Criteri di gruppo filtrati in base a gruppi locali di dominio non vengono applicati quando un utente accede a una workstation in un dominio diverso.
Informazioni
In Microsoft Windows NT 4.0 e domini in modalità mista, i gruppi locali solo sono valide quando si accede al computer che ospita il gruppo locale. Gruppi locali definiti in un domain controller (DC) vengono replicati in tutti i domain controller del dominio e pertanto sono valide quando si accede a tutti i domain controller.

Quando si accede a un dominio, autenticazione controller di dominio restituisce un token di accesso che contiene gli identificatori di protezione gruppo globale (SID) per il quale l'utente è un membro e gruppi locali su controller di dominio sono specificamente esclusi. Protezione locale autorità LSA Local Security (Authority del computer locale) controlla ogni SID nel token di accesso quindi aggiunta qualsiasi gruppo locale rilevante SID.

In modalità nativa, Windows 2000 estende le funzionalità dei gruppi locali definiti nel controller di dominio. appartenenza a gruppi locali di dominio verrà indicata nel token di accesso viene restituito dal controller di dominio, purché l'utente è accesso a un computer nello stesso dominio. Se l'utente è accede a un computer in un altro dominio, il SID del gruppo locale di dominio non sono inclusi.

Di conseguenza, in modalità nativa gruppi locali di dominio possono essere utilizzati per proteggere le risorse nello stesso dominio. Quando un utente accede a una workstation in un altro dominio e tenta di accedere a una risorsa il proprio dominio principale, NT LAN Manager (NTLM) o il meccanismo di autenticazione Kerberos garantisce che gruppi locali di dominio appropriato nuovamente sono incluso in access Cerca la risorsa corrispondente.

Tuttavia, questo non estende ai criteri di gruppo come il motore del lato client ottiene un elenco di oggetti Criteri di gruppo appropriato (GPO) tramite ricerche di Active Directory nel contesto del sistema, quindi controlli di accesso controllo elenco di accesso (ACL dell'oggetto per ogni) con il token dell'utente. Se l'utente non viene registrato nel proprio dominio, il token non conterrà l'appartenenza a un gruppo locale di dominio e un filtro dei criteri di gruppo da gruppi locali di dominio non funzioneranno come previsto.

Di conseguenza, se si prevede gli utenti che accedono a computer in altri domini nell'insieme di strutture, oggetti Criteri di gruppo non devono essere filtrati in base gruppi locali di dominio.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 309172 - Ultima revisione: 02/01/2014 13:33:19 - Revisione: 3.2

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtit
Feedback