그룹 정책은 도메인 로컬 그룹 기준 필터링된 수 하는 않음

중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

309172
이 문서가 보관되었습니다. "그대로" 제공되었으며, 업데이트가 되지 않을 것입니다.
요약
사용자가 다른 도메인의 워크스테이션에 로그온할 때 도메인 로컬 그룹은 필터링된 그룹 정책 개체는 적용되지 않습니다.
추가 정보
로컬 그룹을 호스트하는 컴퓨터에 로그온할 때 Microsoft Windows NT 4.0 및 혼합 모드 도메인 로컬 그룹은 경우에만 효과적입니다. 도메인 컨트롤러 (DC) 에 정의된 로컬 그룹을 도메인에 있는 모든 DC로 복제됩니다 및 모든 DC로 로그온할 때 따라서 효과적입니다.

도메인에 로그온할 때 인증 DC가 구성원, 사용자 수 있는 글로벌 그룹 보안 식별자 (SID) 포함된 로그온 토큰을 반환하고 DC 로컬 그룹은 특히 제외됩니다. 로컬 컴퓨터의 로컬 보안 기관 (LSA) 각 로그온 토큰의 SID를 확인하고 모든 관련 로컬 그룹 SID를 추가합니다.

기본 모드에서는 Windows 2000 DC가. 정의된 로컬 그룹의 기능을 확장하는 동일한 도메인에 있는 컴퓨터에 사용자가 로그온하지 제공 도메인 로컬 그룹의 구성원 DC에 의해 반환된 로그온 토큰의 표시됩니다. 다른 도메인에 있는 컴퓨터에 사용자가 로그온하는 경우 도메인 로컬 그룹의 SID가 포함되지 않습니다.

이 때문에 전용 모드에서 도메인 로컬 그룹은 동일한 도메인의 리소스를 보호하는 데 사용할 수 있습니다. 때 사용자가 다른 도메인의 워크스테이션에 로그온한 및 자신의 홈 도메인에, NTLM (NT LAN 관리자) 의 리소스에 액세스하려고 또는 적절한 도메인 로컬 그룹에 액세스를 다시 포함된 Kerberos 인증 메커니즘을 하면 관련 리소스에 대해 검사합니다.

하지만 클라이언트 쪽 엔진이 시스템 컨텍스트에서 Active Directory 검색을 통해 적용 가능한 그룹 정책 개체 (GPO) 목록을 얻습니다 같이 사용자의 토큰에 대해 ACL (액세스 제어 목록)를 각 GPO의 액세스 검사한 다음, 이 그룹 정책 확장되지 않습니다. 사용자가 자신의 도메인으로 기록되지 않으면 토큰을 도메인 로컬 그룹 구성원이 포함될 및 도메인 로컬 그룹 사용하여 그룹 정책의 모든 필터링이 예상대로 작동하지 않습니다.

사용자가 포리스트의 다른 도메인에 있는 컴퓨터에 로그온한 것으로 예상되는 경우, 따라서 GPO는 도메인 로컬 그룹은 필터링해야 하는지 않습니다.

경고: 이 문서는 자동 번역되었습니다

속성

문서 ID: 309172 - 마지막 검토: 01/23/2014 04:47:13 - 수정: 3.2

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtko
피드백