Sumário
Nas versões do Microsoft Windows anteriores ao Microsoft Windows 2000 Service Pack 4 (SP4), a definição de segurança de grupos restritos Membro na política de grupo não pode ser utilizada para adicionar grupos de domínio a grupos locais em computadores membros. O comportamento de grupos restritos foi actualizado no Microsoft Windows 2000 SP4, Windows Server 2003 e versões mais recentes. Microsoft Windows XP Service Pack 1 (SP1) requer um hotfix para actualizar o comportamento de grupos restritos, o Windows Vista e mais recente tenha incorporado esta actualização. Este artigo descreve as alterações à funcionalidade.
Mais informações
Com a funcionalidade de grupos restritos membro do , pode agora adicionar grupos de domínio a grupos locais. Para mais informações sobre a funcionalidade de grupos restritos, incluindo descrições de Membros e Memberof , consulte "Grupos restritos" na documentação do produto de servidor do Windows.
Windows XP
Informações sobre Service Packs
Para resolver este problema, obtenha o service pack mais recente para o Windows XP. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft
322389 como obter o service pack mais recente do Windows XP
Informações sobre correção
Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.
Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma. Versão o inglês esta funcionalidade tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário na ferramenta Data e hora no painel de controlo.
Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
Adicionar grupos de domínio a grupos locais
Depois de ter verificado que a funcionalidade é instalada em todos os computadores adequados, pode utilizar a definição de grupos restritos de Membro para adicionar um grupo de domínio a um grupo local (incorporado ou personalizado). Pode definir o Membro de políticas de grupos distintos de vários objectos de política de grupo (GPOs) que estão ligados a qualquer site, de qualquer domínio ou de qualquer unidade organizacional (UO), e todas as políticas aplicadas. Por exemplo, tal como ilustrado na seguinte tabela, pode criar uma política que adiciona Admins do domínio ao grupo de administradores local e pode adicionar uma política que adiciona o grupo Admins de gestão ' o meu grupo de administradores local. Este grupo está ligado a um GPO de nível de domínio. Também pode criar uma política que adiciona o grupo de ' o meu Admins de regionais de unidade organizacional do grupo de administradores local. Este grupo está ligado a um GPO de nível de UO. Todas as políticas são aplicadas.
Quadro 1: Adicionar grupos de domínio a grupos locais
|
Grupo de domínio que define uma política de grupos restritos |
Entrada de "Membro": em computadores membros de Grupo Local |
Nível de GPO sempre que a política de grupos restritos está definida |
Resultado |
|---|---|---|---|
|
Admins do domínio (domínio incorporado) |
Administradores (locais incorporados) |
Nível de domínio |
Grupo de administradores contém Admins do domínio, Admins de gestão de ' o meu e meu Admins de unidade organizacional |
|
Meu Admins de gestão (domínio personalizado) |
Administradores (locais incorporados) |
Nível de domínio |
Grupo de administradores contém Admins do domínio, Admins de gestão de ' o meu e meu Admins de unidade organizacional |
|
Meu organizacional Admins de regionais unidade (regional OU personalizado) |
Administradores (locais incorporados) |
Nível de UO |
Grupo de administradores contém Admins do domínio, Admins de gestão de ' o meu e meu Admins de unidade organizacional |
Adicionar o mesmo grupo de domínio a grupos locais através de GPOs
Se criar várias políticas de grupos restritos para o mesmo grupo de vários GPOs, apenas uma política terão efeito. Políticas de grupos restritas para o mesmo grupo não unir através de GPOs. A política efectiva é determinada pela ordem do processamento de política de grupo. Para obter informações sobre a hierarquia de política de grupo e a ordem de processamento, visite o seguinte site da Microsoft Developer Network Web:
http://msdn2.microsoft.com/en-us/library/aa374155.aspxPor exemplo, tal como ilustrado na seguinte tabela, são definidas duas políticas de grupo restrito para Admins do domínio. Uma é definida ao nível do domínio e adiciona Admins do domínio ao grupo de administradores local. A outra é definida ao nível da UO e adiciona o grupo Admins do domínio meu Admins divisão Regional. Admins do domínio apenas serão adicionados a meus Admins divisão Regional (por predefinição, o GPO que estejam ligados, a substituição de nível OU aqueles que são definidas ao nível do domínio).
Quadro 2: Adicionar o mesmo grupo de domínio a grupos locais através de GPOs
|
Grupo de domínio para a qual definir uma política grupos restritos |
Entrada de "Membro": em computadores membros de Grupo Local |
Nível de GPO sempre que a política de grupos restritos é definida |
Resultado |
|---|---|---|---|
|
Admins do domínio (domínio incorporado) |
Administradores (locais incorporados) |
Nível de domínio |
Devido à forma como são processadas GPOs, Admins do domínio apenas será adicionado ao grupo Admins de divisão Regional meu. |
|
Admins do domínio (domínio incorporado) |
Meu Admins divisão Regional (local personalizado) |
OR |
Devido à forma como são processadas GPOs, Admins do domínio apenas será adicionado ao grupo Admins de divisão Regional meu. |
Controladores de domínio
Em versões anteriores do Windows, se um controlador de domínio processa uma política de grupos restritos no qual a secção de Membros é deixada em branco, todos os membros são eliminados do grupo quando a política é aplicada, independentemente da definição para membro do. Por exemplo, se criou uma política grupos restritos ao nível do domínio para Admins de domínio com uma secção de Membros em branco e se incluídos os administradores locais no Membro, quando a política é aplicada, todos os membros do grupo Admins do domínio são removidos (incluindo a conta Administrador incorporada) e um grupo de Admins do domínio vazio é adicionado ao grupo de administradores local.
O comportamento no Windows 2000 SP4, Windows XP com Service Pack 2 (SP2) e Windows Server 2003 foi corrigido. Num computador que esteja a executar uma destas versões do Windows, se aplicar uma política de grupos restritos que define de Membro de mas deixa os membros em branco, a secção de Membros é ignorada e membros do grupo não é esvaziado.
Se tenciona utilizar a funcionalidade de grupos restritos que está activada por esta actualização para configurar os controladores de domínio, servidores membros ou as estações de trabalho, certifique-se de que que todos executem o Windows 2000 SP4, Windows XP SP2 ou Windows Server 2003 para que os membros do grupo de domínio não é modificado inadvertidamente.
Para servidores membros e estações de trabalho, o comportamento neste cenário permanece inalterado.
Aplicação de políticas "Membros" e "Membro de" grupos restritos a um grupo local
É aconselhável definir uma política de grupos restritos que adiciona um grupo de domínio a um grupo local e definir outra política de grupos restritos que restrinja os membros do grupo local. Não é previsível a associação a grupos de final do grupo local porque a ordem de processamento de duas políticas de grupos restritos não está definida. Por exemplo, tal como ilustrado na seguinte tabela, se criar uma política de grupos restritos que adiciona Admins do domínio ao grupo de administradores local e se criar uma política grupos restritos que limita a membros do grupo de administradores local para a conta Administrador incorporada, não pode prever se nenhuma política será aplicada. Se Admins do domínio são adicionados ao grupo de administradores local antes de é limitada a associação a administradores, Admins do domínio será adicionado ao grupo de administradores local e, em seguida, removido. No entanto, se os membros do grupo Administradores local estiver limitado antes de Admins do domínio é adicionado ao grupo de administradores, Admins do domínio permanecerão no grupo de administradores local.
Quadro 3: Adicionar um grupo de domínio a um grupo local com membros restritos
|
Grupo que define uma política de grupos restritos |
Entrada de "Membros" |
Entrada de "Membro" |
Membros do grupo resultante |
|---|---|---|---|
|
Admins do domínio (domínio incorporado) |
Nenhum |
Administradores (locais incorporados) |
Não pode prever a associação a grupos final para o grupo de administradores local. |
|
Administradores (locais incorporados) |
Administrador (local incorporado) |
Nenhum |
Não pode prever a associação a grupos final para o grupo de administradores local. |
Para obter os membros que pretende, utilize exclusivamente Membros ou Membro de políticas de grupo restrito. No exemplo no quadro 3, para obter os administradores membros do grupo que pretende, adicione Admins do domínio para a entrada de Membros para a política de grupos restritos de grupo de administradores local.
Windows 2000
Informações sobre Service Packs
Para resolver este problema, obtenha o service pack mais recente do Microsoft Windows 2000. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft
260910 como obter o service pack mais recente do Windows 2000
Informações sobre correção
Existe uma funcionalidade suportada que modifica o comportamento predefinido do produto da Microsoft. No entanto, esta funcionalidade destina-se para modificar apenas o comportamento descrito neste artigo. Aplique esta funcionalidade apenas em sistemas que necessitem da mesma.
Se a funcionalidade está disponível para transferência, existe uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentado, contacte o suporte ao cliente da Microsoft para obter a funcionalidade.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicionais e problemas que não são elegíveis para esta funcionalidade específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas para os quais a funcionalidade está disponível. Se não visualizar o seu idioma, é porque a funcionalidade não está disponível para esse idioma. Versão de a inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário na ferramenta Data e hora no painel de controlo.
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit Para mais informações sobre como obter uma correcção para o Windows 2000 Datacenter Server, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
265173 do produto o programa de Datacenter e o Windows 2000 Datacenter Server
Para mais informações sobre como instalar várias actualizações do Windows ou correcções ao reiniciar apenas uma vez, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
296861 como instalar várias actualizações do Windows ou correcções com apenas um reinício do computador
