Streszczenie
W wersjach systemu Microsoft Windows starszych niż Microsoft Windows 2000 z dodatkiem Service Pack 4 (SP4) ustawienie zabezpieczeń grupy z ograniczeniami Członek w zasady grupy nie można dodawać grup domeny do grup lokalnych na komputerach członkowskich. Zachowanie grupy z ograniczeniami została zaktualizowana w Microsoft Windows 2000 z dodatkiem SP4, Windows Server 2003 i nowsze wersje. Poprawka w celu zaktualizowania zachowanie grupy z ograniczeniami, system Windows Vista wymaga dodatku Service Pack 1 (SP1) dla systemu Microsoft Windows XP i nowszych to wbudowane aktualizacji. W tym artykule opisano zmiany w funkcji.
Więcej informacji
Z funkcji grupy z ograniczeniami Członek może teraz dodać grupy domeny do grup lokalnych. Aby uzyskać więcej informacji na temat funkcji grupy z ograniczeniami, w tym członków i Memberof opisy zobacz "Grupy z ograniczeniami" w dokumentacji produktu Windows Server.
Windows XP
Informacje dodatku Service pack
Aby rozwiązać ten problem, należy uzyskać najnowszy dodatek service pack dla systemu Windows XP. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322389 jak uzyskać najnowszy dodatek service pack dla systemu Windows XP
Informacje o poprawce
Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Tylko w systemach, których dotyczy ten problem, należy zastosować tę poprawkę. Ta poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.
Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, skontaktuj się z Obsługą i Wsparciem Klienta Microsoft w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów działu obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka. Angielska wersja tej funkcji ma atrybuty plików (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyć z karty Strefa czasowa w narzędziu Data i godzina w Panelu sterowania.
Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
Dodawanie grup domeny do grup lokalnych
Po upewnieniu się, że funkcja jest zainstalowana na wszystkich komputerach, można użyć ustawienia grup z ograniczeniami członka , aby dodać grupę domeny do grupy lokalnej (wbudowanej lub niestandardowej). Można zdefiniować zasady Członek dla różnych grup w wielu obiektów zasady grupy (GPO), które są połączone z dowolnej witryny, dowolną domenę lub dowolną jednostkę organizacyjną (OU), a wszystkie te zasady będą obowiązywać. Na przykład jak pokazano w poniższej tabeli, można utworzyć zasadę, która dodaje grupę Administratorzy domeny do lokalnej grupy Administratorzy, a następnie można dodać zasadę, która dodaje grupę Moi administratorzy zarządzania do lokalnej grupy Administratorzy. Ta grupa jest powiązana z obiektem zasad grupy na poziomie domeny. Można również utworzyć zasadę, która dodaje grupę Administratorzy moich jednostek organizacyjnych regionalne do lokalnej grupy Administratorzy. Ta grupa jest powiązana z zasad grupy na poziomie jednostki Organizacyjnej. Wszystkie zasady są egzekwowane.
Tabela 1: Dodawanie grup domeny do grup lokalnych
|
Grupa domeny, aby zdefiniować zasady grupy z ograniczeniami dla |
Wpis "Członek": grupa lokalna na komputerach członkowskich |
Poziom obiektu zasad grupy, w którym jest zdefiniowana zasada grupy z ograniczeniami |
Wynik |
|---|---|---|---|
|
Administratorzy domeny (wbudowana w domenie) |
Administratorzy (wbudowana lokalna) |
Poziom domeny |
Zawiera grupy Administratorzy, Administratorzy domeny, Moi administratorzy zarządzania i Administratorzy moich jednostek organizacyjnych |
|
Moi administratorzy zarządzania (niestandardowa domeny) |
Administratorzy (wbudowana lokalna) |
Poziom domeny |
Zawiera grupy Administratorzy, Administratorzy domeny, Moi administratorzy zarządzania i Administratorzy moich jednostek organizacyjnych |
|
Moje Administratorzy regionalni jednostek organizacyjnych (niestandardowa regionalnej jednostki Organizacyjnej) |
Administratorzy (wbudowana lokalna) |
Poziom jednostki Organizacyjnej |
Zawiera grupy Administratorzy, Administratorzy domeny, Moi administratorzy zarządzania i Administratorzy moich jednostek organizacyjnych |
Dodawanie grup domeny do grup lokalnych w różnych obiektach zasad grupy
Jeśli zostanie utworzonych wiele zasad grupy z ograniczeniami dla tej samej grupy w wielu obiektach zasad grupy, będzie obowiązywać tylko jedna zasada. Zasady grupy z ograniczeniami dla tej samej grupy nie są scalane z różnych obiektów zasad grupy. Obowiązująca zasada jest określana przez kolejność przetwarzania zasady grupy. Aby uzyskać informacje dotyczące zasady grupy hierarchii i kolejności przetwarzania odwiedź następującą witrynę Microsoft Developer Network w sieci Web:
http://msdn2.microsoft.com/en-us/library/aa374155.aspxNa przykład jak pokazano w poniższej tabeli, dla grupy Administratorzy domeny są zdefiniowane dwie zasady grupy z ograniczeniami. Jeden jest zdefiniowana na poziomie domeny i dodaje grupę Administratorzy domeny do lokalnej grupy Administratorzy. Drugi jest zdefiniowana na poziomie jednostki Organizacyjnej i dodaje grupę Administratorzy domeny do Administratorzy mojego oddziału regionalnego. Administratorzy domeny będzie można dodać do Administratorzy mojego oddziału regionalnego (domyślnie obiektów zasad grupy, które są połączone w OU override poziomu tych, które są zdefiniowane na poziomie domeny).
Tabela 2: Dodawanie grup domeny do grup lokalnych w różnych obiektach zasad grupy
|
Grupa domeny, dla której można zdefiniować zasady grupy z ograniczeniami |
Wpis "Członek": grupa lokalna na komputerach członkowskich |
Poziom obiektu zasad grupy, w którym jest zdefiniowana zasada grupy z ograniczeniami |
Wynik |
|---|---|---|---|
|
Administratorzy domeny (wbudowana w domenie) |
Administratorzy (wbudowana lokalna) |
Poziom domeny |
Z powodu sposobu przetwarzania obiektów zasad grupy Administratorzy domeny będzie można dodać tylko do grupy Administratorzy mojego oddziału regionalnego. |
|
Administratorzy domeny (wbudowana w domenie) |
Administratorzy mojego oddziału regionalnego (niestandardowa lokalna) |
JEDNOSTKI ORGANIZACYJNEJ |
Z powodu sposobu przetwarzania obiektów zasad grupy Administratorzy domeny będzie można dodać tylko do grupy Administratorzy mojego oddziału regionalnego. |
Kontrolery domeny
We wcześniejszych wersjach systemu Windows, jeśli kontroler domeny zasady grupy z ograniczeniami, w której sekcja Członkowie została pozostawiona pusta, przetwarza wszystkie członkowie byli usuwani z grupy po zasady są stosowane, bez względu na ustawienie dla elementu członkowskiego. Na przykład można utworzyć zasady grupy z ograniczeniami na poziomie domeny dla grupy Administratorzy domeny z pustą sekcją członków i uwzględnione administratorów lokalnych w członka, gdy jest stosowana zasada, wszyscy członkowie grupy Administratorzy domeny są usuwane (w tym wbudowane konto Administrator), a pusty grupa Administratorzy domeny zostanie dodana do lokalnej grupy administratorów.
Poprawiono zachowanie w systemie Windows 2000 z dodatkiem SP4, Windows XP z dodatkiem Service Pack 2 (SP2) i Windows Server 2003. Na komputerze, na którym działa jeden z tych wersji systemu Windows, jeśli zastosowanie zasady grupy z ograniczeniami, która definiuje element członkowski , ale pozostawia puste członków , Członkowie sekcja jest ignorowany i członkostwo grupy nie zostanie opróżniony.
Jeśli zamierzasz korzystać z funkcji grupy z ograniczeniami, która jest uaktywniana przez tę aktualizację w celu konfigurowania kontrolerów domeny, serwerów członkowskich czy stacji roboczych, upewnij się, że wszystkie działają systemu Windows 2000 z dodatkiem SP4, Windows XP z dodatkiem SP2 lub Windows Server 2003, aby nie zmodyfikować niechcący członkostwa grupy domeny.
Na serwerach członkowskich i stacjach roboczych zachowanie w tym scenariuszu pozostaje bez zmian.
Stosowanie zasady "Członkowie" i "Członek" grupy ograniczone do grupy lokalnej
Najlepiej jest zdefiniowanie zasady grupy z ograniczeniami, która dodaje grupę domeny do grupy lokalnej i zdefiniowanie innej zasady grupy z ograniczeniami, która ogranicza członkostwo tej grupy lokalnej. Nie można przewidzieć ostatecznego członkostwa grupy tej grupy lokalnej, ponieważ kolejność przetwarzania dwóch zasad grupy z ograniczeniami nie jest zdefiniowana. Na przykład jak pokazano w poniższej tabeli, jeśli zostanie utworzona zasada grupy z ograniczeniami, która dodaje grupę Administratorzy domeny do lokalnej grupy Administratorzy i Jeśli utworzona zasada grupy z ograniczeniami, która ogranicza członkostwo lokalnej grupy Administratorzy do wbudowanego konta administratora, nie można przewidzieć Jeśli albo zasad będzie egzekwowana. Jeśli Administratorzy domeny zostanie dodana do lokalnej grupy Administratorzy przed członkostwa w grupie Administratorzy jest ograniczona, Administratorzy domeny zostanie dodany do lokalnej grupy Administratorzy, a następnie usunięte. Jednakże jeśli członkostwo lokalnej grupy Administratorzy zostanie ograniczone przed dodaniem administratorów domeny do grupy Administratorzy, Administratorzy domeny pozostaną w lokalnej grupie Administratorzy.
Tabela 3: Dodawanie grupy domeny do grupy lokalnej z ograniczonym członkostwem
|
Aby zdefiniować zasady grupy z ograniczeniami dla grupy |
Wpis "Członkowie" |
Wpis "Członek" |
Wynikowe członkostwo grupy |
|---|---|---|---|
|
Administratorzy domeny (wbudowana w domenie) |
Brak |
Administratorzy (wbudowana lokalna) |
Nie można przewidzieć ostatecznego członkostwa grupy dla lokalnej grupy Administratorzy. |
|
Administratorzy (wbudowana lokalna) |
Administratorzy (wbudowana lokalna) |
Brak |
Nie można przewidzieć ostatecznego członkostwa grupy dla lokalnej grupy Administratorzy. |
Uzyskanie członkostwa, który ma używać wyłącznie Członkowie lub Członek zasady grupy z ograniczeniami. W przykładzie z tabeli 3 Aby uzyskać Administratorzy przynależności do grupy, która ma, dodać Administratorzy domeny do wpisu członków dla lokalnych zasad grupy z ograniczeniami grupy Administratorzy.
System Windows 2000
Informacje dodatku Service pack
Aby rozwiązać ten problem, należy uzyskać najnowszy dodatek service pack dla systemu Microsoft Windows 2000. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
260910 jak uzyskać najnowszy dodatek service pack dla systemu Windows 2000
Informacje o poprawce
Obsługiwaną poprawkę, która modyfikuje domyślne zachowanie produktu jest udostępniana przez firmę Microsoft. Jednak ta funkcja jest przeznaczona do modyfikowania tylko w tym artykule opisano zachowanie. Zastosowanie tej funkcji tylko w systemach, które rzeczywiście tego wymagają.
Jeśli funkcja jest dostępna do pobrania, istnieje sekcja "Poprawka dostępna do pobrania" w górnej części tego artykułu bazy wiedzy. Jeśli nie ma tej sekcji, skontaktuj się z obsługi klienta firmy Microsoft i obsługi technicznej w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Koszty obsługi zwykłych zastosuje się do dodatkowych pytań i problemów, które nie kwalifikują się do tej konkretnej funkcji. Aby uzyskać pełną listę numerów telefonów działu obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których ta funkcja jest dostępna. Jeśli język nie jest widoczny, dlatego funkcja nie jest dostępna dla danego języka. Angielska wersja anglojęzyczna tej poprawki ma atrybuty plików (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyć z karty Strefa czasowa w narzędziu Data i godzina w Panelu sterowania.
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit Aby uzyskać więcej informacji dotyczących sposobu uzyskiwania poprawki dla systemu Windows 2000 Datacenter Server kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
Produktu 265173 the Datacenter Program and Windows 2000 Datacenter Server
Aby uzyskać więcej informacji dotyczących sposobu instalowania wielu aktualizacji systemu Windows lub poprawek tylko raz wymaga ponownego uruchomienia komputera kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
296861 jak zainstalować wiele aktualizacji systemu Windows lub poprawek z tylko jednym ponownym rozruchem komputera
