Rezumat
În versiunile de Microsoft Windows anterioare Microsoft Windows 2000 Service Pack 4 (SP4), setarea de securitate restricționate grupuri membru în politica de grup nu se poate utiliza pentru a adăuga grupurile din domeniul local grupuri pe computere membru. Comportamentul restricționate grupuri a fost actualizat în Microsoft Windows 2000 SP4, Windows Server 2003 și versiuni mai noi. Microsoft Windows XP Service Pack 1 (SP1) necesită o remediere rapidă pentru a actualiza comportamentul restricționate grupuri, Windows Vista şi versiunile mai noi au încorporat această actualizare. Acest articol descrie modificările de caracteristica.
Mai multe informații
Cu funcționalitate limitată grupuri membru al , acum aveți posibilitatea să adăugați grupuri de domeniu pentru grupuri locale. Pentru mai multe informații despre caracteristica restricționate grupuri, inclusiv descrieri membri și Memberof , consultați "Restricționate grupuri" în documentația de produs Windows Server.
Windows XP
Informații despre pachetul service pack
Pentru a rezolva această problemă, obțineți cel mai recent pachet service pack pentru Windows XP. Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:
322389 cum se obține cel mai recent pachet service pack Windows XP
Informații despre remedierea rapidă
O remediere rapidă compatibilă este disponibilă de la Microsoft. Cu toate acestea, această remediere rapidă este destinată pentru a corecta doar problema descrisă în acest articol. Aplicați această remediere rapidă numai pentru sistemele care întâmpină această problemă anume. Această remediere rapidă poate să necesite testare suplimentară. De aceea, dacă nu sunteți grav afectat de această problemă, vă recomandăm să aşteptaţi următoarea actualizare software care conţine această remediere rapidă.
Dacă remedierea rapidă este disponibilă pentru descărcare, există o secțiune "Descărcare remediere rapidă disponibilă" în partea de sus a acestui articol din baza de cunoștințe. Dacă nu apare această secţiune, contactaţi Microsoft Client Service și suport pentru a obţine remedierea rapidă.
Notă Dacă se produc probleme suplimentare sau este necesară depanarea, poate fi necesar să creați o solicitare de asistenţă separată. Costurile de obicei pentru suport se vor aplica pentru sprijin suplimentar, întrebări și probleme care nu sunt specifice pentru această remediere rapidă . Pentru o listă completă cu numerele de telefon ale clienților servicii și asistență Microsoft sau pentru a crea o solicitare de asistenţă separată, vizitați următorul site Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNotă Formularul "Descărcare remediere rapidă disponibilă" afişează limbile pentru care este disponibilă remedierea rapidă. Dacă nu vedeți limba dvs., înseamnă că o remediere rapidă nu este disponibilă pentru respectiva limbă. Versiunea în limba engleză acestei caracteristici are atribute de fișier (sau atribute de fişier mai recente) enumerate în următorul tabel. Datele şi orele acestor fişiere sunt exprimate în listă în ora universală (UTC). Când vizualizaţi informaţiile despre fișier, acesta este convertit la ora locală. Pentru a afla diferența între timpul universal și cel local, utilizați fila fusul orar din instrumentul dată și oră din panoul de Control. Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
Adăugarea grupurilor de domeniu pentru grupuri locale
După ce ați verificat că caracteristica este instalat pe toate computerele corespunzător, utilizaţi setarea restricționate grupuri membru al pentru a adăuga un grup de domeniu într-un grup local (predefinite sau particularizate). Aveți posibilitatea să definiți membru al politici pentru grupuri distincte în mai multe obiecte de politică de grup (GPO) care sunt legate de orice site, orice domeniu sau orice unitate organizațională (OU), iar toate politicile avea efect. De exemplu, după cum este ilustrat în următorul tabel, aveți posibilitatea să creați o politică care adaugă administratori de domeniu la grupul local administratori și aveți posibilitatea să adăugați o politică care adaugă grup de administratori de gestionare meu la grupul local administratori. Acest grup este legată de un obiect GPO nivel de domeniu. De asemenea, puteţi crea o politică care adaugă grupul meu unitate organizațională Regional administratori la grupul local administratori. Acest grup este legat la un nivel de OU GPO. Toate politicile sunt aplicate.
Tabel 1: Adăugarea grupurilor de domeniu pentru grupuri locale
|
Grup de domeniu care să definiți o politică de grupuri restrânse pentru |
"Membru" intrare: grupul Local pe computere membru |
GPO nivel unde este definit politica restricționate grupuri |
Rezultate |
|---|---|---|---|
|
Administratori de domeniu (domeniu integrat) |
Administratori (încorporat local) |
Nivel de domeniu |
Grupului de administratori conține administratori de domeniu, meu Management administratori și meu administratori de unitate organizațională |
|
Meu administratori de gestionare (domeniu particularizat) |
Administratori (încorporat local) |
Nivel de domeniu |
Grupului de administratori conține administratori de domeniu, meu Management administratori și meu administratori de unitate organizațională |
|
Meu organizațională unitate Regional administratori (regional OU particularizat) |
Administratori (încorporat local) |
Nivel de OU |
Grupului de administratori conține administratori de domeniu, meu Management administratori și meu administratori de unitate organizațională |
Adăugarea același grup de domeniu la grupuri locale peste GPO
În cazul în care creați mai multe politici de grupuri restrânse pentru același grup în mai multe GPO, o politică vor avea efect. Restricționate grupuri politici pentru același grup nu merge peste GPO. Politica efective este determinată de ordinea de procesare de politică de grup. Pentru informații despre politica de grup ierarhie și procesare comandă, vizitați următorul site Microsoft Developer Network Web:
http://msdn2.microsoft.com/en-us/library/aa374155.aspxDe exemplu, după cum este ilustrat în următorul tabel, două politici de grup restricționat sunt definite pentru administratori de domeniu. Una este definit la nivel de domeniu și adaugă administratori de domeniu la grupul local administratori. Cealaltă este definit la nivel de OU și adaugă grupului de administratori de domeniu meu Regional Division administratori. Administratori de domeniu numai va fi adăugat la meu Regional Division administratori (în mod implicit, GPO care se leagă la înlocuire nivel OU cele definite la nivel de domeniu).
Tabel 2: Adăugarea același grup de domeniu la grupuri locale peste GPO
|
Grup de domeniu pentru care se definește o politică restricționate grupuri |
"Membru" intrare: grupul Local pe computere membru |
GPO nivel unde este definit politica restricționate grupuri |
Rezultate |
|---|---|---|---|
|
Administratori de domeniu (domeniu integrat) |
Administratori (încorporat local) |
Nivel de domeniu |
Din cauza cum sunt procesate GPO, administratori de domeniu numai vor fi adăugate la grupul meu regionale Division administratori. |
|
Administratori de domeniu (domeniu integrat) |
Meu Regional Division administratori (particularizat local) |
OU |
Din cauza cum sunt procesate GPO, administratori de domeniu numai va fi adăugat la grupul meu Regional Division administratori. |
Controlerele de domeniu
În versiunile anterioare de Windows, dacă un controler de domeniu procesează o politică restricționate grupuri în care secțiunea membri este completat, toți membrii sunt eliminate din grupul atunci când această politică se aplică, indiferent de setarea pentru membru. De exemplu, dacă creaţi o politică de grupuri restricționate la nivel de domeniu pentru administratori de domeniu cu o secțiune de membri necompletat dacă aţi inclus administratori locali în membru, atunci când această politică se aplică, toate membri ai grupului de administratori de domeniu sunt eliminate (inclusiv contul de Administrator încorporat) și un grup de administratori de domeniu gol este adăugat la grupul local administratori.
Comportamentul în Windows 2000 SP4, Windows XP cu Service Pack 2 (SP2) și Windows Server 2003 a fost corectată. Pe un computer care execută unul dintre aceste versiuni de Windows, dacă aplicați o politică restricționate grupuri care definește membru , dar lasă membri necompletat, secțiunea membri este ignorat și apartenență la grup nu se golește.
Dacă doriți să utilizați funcționalitatea restricționate grupuri care este activată în această actualizare pentru a configura controlerele de domeniu, servere membre sau stațiile de lucru, asigurați-vă că acestea sunt toate execută Windows 2000 SP4, Windows XP SP2 sau Windows Server 2003, astfel încât membru al grupului de domeniu nu se modifică în mod neintenționat.
Pentru servere membre și stațiile de lucru, comportamentul în acest scenariu rămâne neschimbat.
Aplicarea politicilor "Membri" și "Membru" grupuri restricționate într-un grup local
Se recomandă să definiți o politică restricționate grupuri care adaugă un grup de domeniu într-un grup local și să definiți o altă politică restricționate grupuri care restricționează apartenență la acel grup local. Membru grup definitivă din acel grup local nu poate fi prezis, deoarece nu este definită ordinea de procesare a două politici de grupuri restricționate. De exemplu, după cum este ilustrat în tabelul următor, dacă creaţi o politică restricționate grupuri care adaugă administratori de domeniu la grupul local administratori și dacă creaţi o politică restricționate grupuri care limitează calitatea de membru al grupului local de administratori pentru contul de Administrator încorporat, nu poate prezice dacă oricare dintre politica va fi executată. Dacă administratori de domeniu sunt adăugate la grupul local administratori înainte de administratori de membru este limitată, administratori de domeniu va fi adăugat la grupul local administratori și apoi eliminate. Cu toate acestea, dacă local membru al grupului de administratori este limitată înainte de administratori de domeniu este adăugat la grupul de administratori, administratori de domeniu va rămâne în grupul local administratori.
Tabel 3: Adăugarea unui grup de domeniu într-un grup local cu calitatea de membru restricționate
|
Grup pe care le definiţi o politică de grupuri restrânse pentru |
Intrare "Membri" |
Intrare "Membru" |
Rezultate de apartenență la grup |
|---|---|---|---|
|
Administratori de domeniu (domeniu integrat) |
None |
Administratori (încorporat local) |
Când nu poate prezice finale apartenenţa grupului local de administratori. |
|
Administratori (local încorporat) |
Administrator (local încorporat) |
None |
Când nu poate prezice finale apartenenţa grupului local de administratori. |
Pentru a obține calitatea de membru pe care doriți, utilizați membri sau politicile de grup restricționată membru exclusiv. În exemplul din tabelul 3, pentru a obține administratorii de grup apartenența la care doriți, adăugați administratori de domeniu la intrarea membri pentru politica locală administratorii grup grupuri restricționate.
Windows 2000
Informații despre pachetul service pack
Pentru a rezolva această problemă, obțineți cel mai recent pachet service pack pentru Microsoft Windows 2000. Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:
260910 cum se obține cel mai recent pachet service pack Windows 2000
Informații despre remedierea rapidă
O caracteristică acceptată care modifică comportamentul implicit al produsului este disponibilă de la Microsoft. Cu toate acestea, această caracteristică este destinat pentru a modifica numai comportamentul descris în acest articol. Aplicaţi această caracteristică numai sistemelor care o solicită în mod specific.
În cazul în care caracteristica este disponibil pentru descărcare, există o secțiune "remediere Descărcare disponibilă" în partea de sus a acestui articol din baza de cunoștințe. Dacă nu apare această secţiune, contactați serviciul pentru clienți Microsoft și asistență pentru a obţine caracteristica.
Notă Dacă se produc probleme suplimentare sau este necesară depanarea, poate fi necesar să creați o solicitare de asistenţă separată. Se vor aplica costurile uzuale de asistenţă pentru întrebări suplimentare de asistenţă şi pentru probleme care nu fac obiectul caracteristicii în chestiune. Pentru o listă completă cu numerele de telefon ale clienților servicii și asistență Microsoft sau pentru a crea o solicitare de asistenţă separată, vizitați următorul site Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNotă "Remediere formularul"Descărcare disponibilă afişează limbile pentru care este disponibilă caracteristica. Dacă nu vedeți limba dvs., înseamnă că nu este disponibilă pentru respectiva limbă caracteristica. Versiunea în limba engleză a acestei remedieri rapide are atributele de fişier (sau atribute de fişier mai recente) enumerate în următorul tabel. Datele şi orele acestor fişiere sunt exprimate în listă în ora universală (UTC). Când vizualizaţi informaţiile despre fișier, acesta este convertit la ora locală. Pentru a afla diferența între timpul universal și cel local, utilizați fila fusul orar din instrumentul dată și oră din panoul de Control.
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit
Pentru mai multe informații despre cum se obține o remediere rapidă pentru Windows 2000 Datacenter Server, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
265173 programul Datacenter și Windows 2000 Datacenter Server produs
Pentru mai multe informații despre cum se instalează mai multe actualizări Windows sau remedieri rapide, în timp ce reporni o singură dată, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
296861 cum se instalează Windows actualizări sau remedieri rapide multiple cu o singură repornire
