Обновление поведения групп с ограниченным доступом («член») локальным группам

Сведения о пакете обновления

Чтобы устранить эту проблему, получите последний пакет обновления для Windows XP. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

Как получить последний пакет обновления Windows XP 322389

Сведения об исправлении

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:

http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует. Английская версия этой функции имеет атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, воспользуйтесь вкладкой часовой пояс «Дата и время» панели управления. Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386

Добавление групп домена в локальные группы

После проверки того, что компонент установлен на всех соответствующих компьютерах, можно использовать параметр группы с ограниченным доступом членом добавить группу домена в локальную группу (встроенные или пользовательские). Можно определить член политик для различных групп в нескольких объектах групповой политики (GPO), связанные с любого узла, любой домен или любое подразделение (OU), а все политики вступили в силу. Например как показано в следующей таблице, можно создать политику, которая добавляет администраторов домена в локальную группу администраторов, а можно добавить политику, которая добавляет группу «Администраторы» Мое управление локальной группы «Администраторы». Эта группа связан объект групповой Политики уровня домена. Также можно создать политику, которая добавляет группу Мои организационные единицы «Региональные администраторы» в локальную группу администраторов. Эта группа связан объект групповой Политики уровня Подразделения. Применяются все политики.

Таблица 1: Добавление групп домена в локальные группы

Добавление локальных групп той же группы домена через объекты групповой политики

При создании нескольких политики групп с ограниченным доступом для той же группы в нескольких объектах групповой политики, только одна политика вступит в силу. Ограниченные политики групп для одной группы не объединять через объекты групповой политики. Действующая политика определяется порядок обработки групповой политики. Сведения о групповой политике иерархии и порядок обработки посетите Microsoft Developer Network веб-узла:

http://msdn2.microsoft.com/en-us/library/aa374155.aspxНапример как показано в следующей таблице определены две политики групп с ограниченным доступом для администраторов домена. Один определен на уровне домена и добавляет администраторов домена в локальную группу администраторов. Другой определяется на уровне Подразделения и добавляет в группу «Администраторы домена» в Мои региональные подразделения администраторы. Администраторы домена добавляются только администраторам Мои региональные подразделения (по умолчанию GPO, связанные с переопределения уровня Подразделения те, которые определены на уровне домена).

Таблица 2: Добавление той же группы домена в локальные группы через объекты групповой политики

Контроллеры домена

В более ранних версиях Windows Если контроллер домена обрабатывает политику групп с ограниченным доступом, в котором оставлено пустым, раздел членов все элементы удаляются из группы при применении политики, независимо от значения параметра для элемента. Например при создании политики групп с ограниченным доступом на уровне домена для администраторов домена с пустой раздел членов и включены локальные администраторы в член, при применении политики, удаляются все члены группы «Администраторы домена» (включая встроенной учетной записи администратора), и пустую группу «Администраторы домена» добавляется к группе локальных администраторов.

Исправлено поведение в Windows 2000 SP4, Windows XP и Пакет обновления 2 (SP2) и Windows Server 2003. На компьютере под управлением одной из этих версий Windows, если применить политику групп с ограниченным доступом, определяет элемент , но оставляет пустым членов , раздел членов игнорируется и членства в группах не очищается.

Если вы планируете использовать функции групп с ограниченным доступом, включенного в это обновление для настройки контроллеров домена, рядовых серверов или рабочих станций, убедитесь в том, что они все выполняются Windows 2000 SP4, Windows XP SP2 или Windows Server 2003 таким образом, членство в группах домена непреднамеренно не изменяется.

Для рядовых серверов и рабочих станций поведение в этом случае остается неизменным.

Применение политики к локальной группе «Участники» и «Член» группы с ограниченным доступом

Рекомендуется для определения политики групп с ограниченным доступом, которая добавляет группу домена в локальную группу и определить другой политики групп с ограниченным доступом, ограничивающее, локальные группы. Поскольку порядок обработки две политики групп с ограниченным доступом не определены многократном окончательный принадлежность данной локальной группы. Например как показано в следующей таблице, если создать политику групп с ограниченным доступом, которая добавляет администраторов домена в локальную группу администраторов и при создании политики групп с ограниченным доступом, ограничивает членство в локальной группе администраторов для встроенной учетной записи администратора, не может предсказать, если политика будет применяться. Если Администраторы домена добавляются в локальную группу администраторов до участия администраторов ограничено, «Администраторы домена» добавляется к группе локальных администраторов и затем удаляются. Однако если локальный членство в группе администраторов ограничено до «Администраторы домена» добавляется в группу «Администраторы», «Администраторы домена» останется в локальной группы «Администраторы».

Таблица 3: Добавление группы домена в локальную группу для ограниченного числа участников

Чтобы получить членство, следует используйте исключительно члены или членом политики групп с ограниченным доступом. В примере в таблице 3 Чтобы получить, требуется членство в группе администраторов, добавьте «Администраторы домена» запись членов для локальных администраторов групповой политики групп с ограниченным доступом.

Сведения о пакете обновления

Чтобы устранить эту проблему, получите последний пакет обновления для Microsoft Windows 2000. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

260910 как получить последний пакет обновления для Windows 2000

Сведения об исправлении

Поддерживаемая функция изменяет стандартное поведение продукта от корпорации Майкрософт. Однако эта возможность предназначена для изменения поведения, описанного в данной статье. Следует применяйте только в системах, где наблюдается вышеописанная проблема.

Если функция доступна для загрузки, имеется раздел «Исправление доступно для загрузки» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в Майкрософт службой технической поддержки, чтобы получить ее.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Затраты на обычные службы поддержки будет применяться к Дополнительные вопросы и проблемы, которые не соответствуют требованиям этой функцией. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:

http://support.microsoft.com/contactus/?ws=supportПримечание. В форме «Исправление доступно для загрузки» отображаются языки, для которых функция доступна. Если нужный язык не отображается, это потому, что функция недоступна для данного языка. Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, воспользуйтесь вкладкой часовой пояс «Дата и время» панели управления.
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit
Для получения дополнительных сведений о получении исправления для Windows 2000 Datacenter Server щелкните следующий номер статьи базы знаний Майкрософт:

Продукт Windows 2000 Datacenter Server и Datacenter Program 265173

Дополнительные сведения об установке нескольких исправлений или обновлений Windows при перезапуске только один раз щелкните следующий номер статьи базы знаний Майкрософт:

296861 об установке нескольких исправлений или обновлений Windows с только одной перезагрузки системы