Samenvatting
In eerdere versies van Microsoft Windows dan Microsoft Windows 2000 Service Pack 4 (SP4), wordt de beperkte groepen lid van beveiligingsinstellingen in Groepsbeleid niet gebruiken domeingroepen toevoegen aan lokale groepen op computers die lid zijn. Het gedrag van beperkte groepen is bijgewerkt in Microsoft Windows 2000 SP4, Windows Server 2003 en nieuwere versies. Microsoft Windows XP Service Pack 1 (SP1) vereist een hotfix voor het bijwerken van het gedrag van beperkte groepen, Windows Vista en hoger deze ingebouwde update hebben. Dit artikel beschrijft de wijzigingen in de functie.
Meer informatie
Met de functionaliteit voor beperkte groepen lid van kunt u groepen toevoegen aan lokale groepen. Zie 'Beperkte groepen' in de Windows Server-productdocumentatie voor meer informatie over de functie voor beperkte groepen, waaronder de omschrijvingen van leden en lid .
Windows XP
Informatie over het service pack
Ophalen van het meest recente servicepack voor Windows XP voor dit probleem. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
322389 het verkrijgen van het meest recente servicepack voor Windows XP
Informatie over de hotfix
Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop dit specifieke probleem zich voordoet. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.
Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen.
Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of een afzonderlijk serviceverzoek maken, gaat u naar de volgende Microsoft-website:
http://support.microsoft.com/contactus/?ws=supportOpmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is. Van de Engelse versie van deze voorziening heeft de bestandskenmerken (of recentere bestandskenmerken) die in de volgende tabel worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Het verschil tussen UTC en lokale tijd zoekt, gebruikt u het tabblad tijdzone in het onderdeel datum en tijd in het Configuratiescherm.
Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
Groepen toevoegen aan lokale groepen
Nadat u hebt gecontroleerd dat de functie op alle geschikte computers is geïnstalleerd, kunt u de instelling voor beperkte groepen lid van een domeingroep toevoegen aan een lokale groep (ingebouwd of aangepast). U kunt lid van beleid voor verschillende groepen definiëren in meerdere groepsbeleidsobjecten (GPO's) die zijn gekoppeld aan een site, een domein of een organisatie-eenheid (OU) en alle beleidsinstellingen van kracht. Bijvoorbeeld, zoals geïllustreerd in de volgende tabel, kunt u een beleid waarmee Domeinadministrators worden toegevoegd aan de lokale groep Administrators en kunt u een beleid dat de groep beheerders voor mijn Management toegevoegd aan de lokale groep Administrators toevoegen. Deze groep is gekoppeld aan een groepsbeleidsobject op domeinniveau. Ook kunt u een beleid waarmee de groep van mijn organisatie-eenheid regionale beheerders worden toegevoegd aan de lokale groep Administrators. Deze groep is gekoppeld aan een groepsbeleidsobject voor de organisatie-eenheid. Alle beleidsregels worden toegepast.
Tabel 1: Groepen toevoegen aan lokale groepen
|
Domeingroep die u voor een beleid voor beperkte groepen definieert |
De vermelding 'Lid van': de lokale groep op computers die lid zijn |
GPO-niveau waarin het beleid voor beperkte groepen is gedefinieerd |
Resultaat |
|---|---|---|---|
|
Domeinadministrators (ingebouwde domein) |
(Ingebouwde lokale) beheerders |
Niveau van het domein |
Administrators, groep bevat Domeinadministrators, Mijn Management-Administrators en beheerders van deze organisatie-eenheid |
|
Mijn Management-Administrators (aangepaste domein) |
(Ingebouwde lokale) beheerders |
Niveau van het domein |
Administrators, groep bevat Domeinadministrators, Mijn Management-Administrators en beheerders van deze organisatie-eenheid |
|
Mijn organisatie-eenheid regionale beheerders (regionale organisatie-eenheid aangepast) |
(Ingebouwde lokale) beheerders |
Organisatie-eenheid |
Administrators, groep bevat Domeinadministrators, Mijn Management-Administrators en beheerders van deze organisatie-eenheid |
Dezelfde domeingroep toevoegen aan lokale groepen in groepsbeleidsobjecten
Als u meerdere beleid voor beperkte groepen voor dezelfde groep in meerdere GPO's maken, kracht maar één beleid. Beleid voor beperkte groepen voor dezelfde groep kunnen niet samenvoegen voor groepsbeleidsobjecten. Het effectieve beleid wordt bepaald door de volgorde van de verwerking van Groepsbeleid. Ga naar de volgende website van Microsoft Developer Network voor meer informatie over Groepsbeleid hiërarchie en verwerkingsvolgorde:
http://msdn2.microsoft.com/en-us/library/aa374155.aspxBijvoorbeeld, zoals geïllustreerd in de volgende tabel, zijn twee soorten beleid voor beperkte groepen gedefinieerd voor Domeinadministrators. Een niveau van het domein is gedefinieerd en Domeinadministrators toegevoegd aan de lokale groep Administrators. De andere op het niveau van de organisatie-eenheid is gedefinieerd en wordt de groep Domeinadministrators toegevoegd aan mijn regionale divisie-beheerders. Domeinadministrators zal alleen worden toegevoegd aan mijn regionale afdeling beheerders (standaard groepsbeleidsobjecten die zijn gekoppeld aan het niveau overschrijven van de organisatie-eenheid die zijn gedefinieerd op het domeinniveau van het).
Tabel 2: Dezelfde domeingroep toe te voegen aan lokale groepen in groepsbeleidsobjecten
|
Domein groep waarvoor u een beleid voor beperkte groepen definiëren |
De vermelding 'Lid van': de lokale groep op computers die lid zijn |
GPO-niveau waarin het beleid voor beperkte groepen is gedefinieerd |
Resultaat |
|---|---|---|---|
|
Domeinadministrators (ingebouwde domein) |
(Ingebouwde lokale) beheerders |
Niveau van het domein |
Vanwege de manier waarop groepsbeleidsobjecten worden verwerkt, wordt alleen Domeinadministrators worden toegevoegd aan de groep Administrators van mijn regionale afdeling. |
|
Domeinadministrators (ingebouwde domein) |
De regionale afdeling beheerders (lokale aangepast) |
ORGANISATIE-EENHEID |
Vanwege de manier waarop groepsbeleidsobjecten worden verwerkt, wordt alleen Domeinadministrators worden toegevoegd aan de groep Administrators van mijn regionale afdeling. |
Domeincontrollers
In eerdere versies van Windows als een beleid voor beperkte groepen waarin de leden sectie leeg is, wordt verwerkt door een domeincontroller alle leden worden permanent verwijderd uit de groep als het beleid wordt toegepast, ongeacht de instelling voor een lid van. Als u een beleid voor beperkte groepen op domeinniveau voor Domeinadministrators met een leeg gedeelte van de leden en als u lokale beheerders in lid van, wanneer het beleid wordt toegepast, alle leden van de groep Domeinadministrators zijn verwijderd (met inbegrip van de ingebouwde account Administrator) en een lege groep Domeinadministrators toegevoegd aan de lokale groep administrators.
Het gedrag in Windows 2000 SP4, Windows XP met Service Pack 2 (SP2) en Windows Server 2003 is gecorrigeerd. Op een computer met een van deze versies van Windows, als u een beleid voor beperkte groepen die leden leeg gelaten, maar bepaalt lid van toepassing, de leden sectie genegeerd en groepslidmaatschap wordt niet leeggemaakt.
Als u de functie voor beperkte groepen die door deze update is ingeschakeld voor het configureren van domeincontrollers, zorg lidservers of werkstations, dat ze worden alle uitgevoerd Windows 2000 SP4, Windows XP SP2 of Windows Server 2003 dat lidmaatschap van een domein wordt niet per ongeluk worden gewijzigd.
Voor lidservers en werkstations verandert het gedrag in dit scenario.
'Leden' en 'Lid van' beperkte groepen beleidsregels toepassen op een lokale groep
Het is raadzaam voor het definiëren van een beleid voor beperkte groepen die een domeingroep aan een lokale groep toevoegt en voor het definiëren van een ander beleid voor beperkte groepen die lid zijn van de lokale groep beperkt. Het uiteindelijke lidmaatschap van de lokale groep kan niet worden voorspeld, omdat niet de volgorde voor het verwerken van de twee soorten beleid voor beperkte groepen is gedefinieerd. Bijvoorbeeld, zoals in de volgende tabel als u een beleid voor beperkte groepen die Domeinadministrators worden toegevoegd aan de lokale groep Administrators en als u een beleid voor beperkte groepen maken die het lidmaatschap van de lokale groep Administrators op de ingebouwde Administrator-account beperkt, valt niet te voorspellen als beide beleidsinstellingen worden afgedwongen. Als Domeinadministrators worden toegevoegd aan de lokale groep Administrators, voordat de beheerders het lidmaatschap beperkt is, worden Domeinadministrators toegevoegd aan de lokale groep Administrators en vervolgens verwijderd. Als het lidmaatschap van lokale groep Administrators alleen voordat Domeinadministrators worden toegevoegd aan de groep Administrators, blijft Domeinadministrators echter in de lokale groep Administrators.
Tabel 3: Een domeingroep toe te voegen aan een lokale groep met beperkte lidmaatschap
|
De groep die u voor een beleid voor beperkte groepen definieert |
De vermelding 'Leden' |
De vermelding 'Lid van' |
Resulterende groepslidmaatschap |
|---|---|---|---|
|
Domeinadministrators (ingebouwde domein) |
Geen |
(Ingebouwde lokale) beheerders |
Valt niet te voorspellen het uiteindelijke groepslidmaatschap voor de lokale groep Administrators. |
|
(Ingebouwde lokale) beheerders |
Beheerder (lokale ingebouwd) |
Geen |
Valt niet te voorspellen het uiteindelijke groepslidmaatschap voor de lokale groep Administrators. |
Als u het gewenste lidmaatschap, leden of lid zijn van beperkte groepen beleid uitsluitend gebruikt. In het voorbeeld in tabel 3, als u de beheerders het lidmaatschap van de groep die u wilt, Domeinadministrators aan de leden post toevoegen voor het lokale beheerders beperkte groepen Groepsbeleid.
Windows 2000
Informatie over het service pack
U lost dit probleem, het meest recente servicepack voor Microsoft Windows 2000 te verkrijgen. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
260910 het verkrijgen van het meest recente servicepack voor Windows 2000
Informatie over de hotfix
Een functie die het standaardgedrag van het product wijzigt is van Microsoft beschikbaar. Deze functie is echter alleen bedoeld om alleen het gedrag dat in dit artikel wordt beschreven. Deze functie alleen toepassen op systemen waarvoor dit specifiek nodig is.
Als de functie beschikbaar voor downloaden is, is er aan het begin van dit Knowledge Base-artikel een sectie 'Hotfix kan worden gedownload'. Neem contact op met Microsoft Customer Service and Support voor de functie als deze sectie niet wordt weergegeven.
Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten blijven gelden voor extra ondersteuningsvragen die niet in aanmerking voor deze specifieke functie komen. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of een afzonderlijk serviceverzoek maken, gaat u naar de volgende Microsoft-website:
http://support.microsoft.com/contactus/?ws=supportOpmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen waarvoor de functie beschikbaar is. Als uw taal niet wordt weergegeven, is het omdat de functie niet beschikbaar voor die taal is. Van de Engelse versie van deze hotfix heeft de bestandskenmerken (of recentere bestandskenmerken) die in de volgende tabel worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Het verschil tussen UTC en lokale tijd zoekt, gebruikt u het tabblad tijdzone in het onderdeel datum en tijd in het Configuratiescherm.
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit Voor meer informatie over het verkrijgen van een hotfix voor Windows 2000 Datacenter Server klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
265173 het Datacenter-programma en Windows 2000 Datacenter Server-product
Voor meer informatie over hoe u meerdere Windows-updates of hotfixes installeren en maar één keer opnieuw op te starten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
296861 het installeren van meerdere Windows-updates of hotfixes met slechts één keer opnieuw opstarten
