В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Исключает параметр основной группы пользователя членства в группе в Active Directory

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 275523
Проблема
При просмотре каталогов Active Directory с программы Lightweight Directory Access Protocol (LDAP), например Ldp.exe с основной группы членов атрибута не заполняется.

Атрибут memberof объекта пользователя не содержит имени группы. Это может вызвать проблемы, если для атрибута PrimaryGroupID и только для атрибута члены группы программ опрашивает Active Directory.
Причина
Это происходит потому, что Microsoft Windows 2000 имеет ограничение членства группы из 5000 пользователей. Это объясняется ограничением размера атрибута, которое реплицируется. Основная группа позволяет одна группа пользователей, для хранения более 5000 пользователей. По умолчанию каждый пользователь является членом группы «Пользователи домена».

Режим леса Microsoft Windows Server 2003 устраняет это ограничение членства в группе. Тем не менее основная группа по-прежнему используется таким же образом.
Решение
Чтобы решить эту проблему, создайте отдельный атрибут, именуемый PrimaryGroupID. При этом всем пользователям может быть членом глобальной группы пользователей домена, но вместо явного добавления членство в группе пользователей домена, назначить пользователя значение для этой группы в значении PrimaryGroupID. PrimaryGroupID значение RID группы, которой назначен в качестве основной группы пользователя.
Чтобы убедиться, что пользователь имеет доступ к ресурсам в домене, вы не только рассчитать членство в группе на основе атрибута memberof также запрашивать значение PrimaryGroupID учетных записей пользователей. При этом можно создать маркер пользователя и включают основной группы в процессе входа для всех групп, членом которых является пользователь.

Программы, которые используют для запроса группы для предоставления пользователям доступа, основанного на членстве в группе также необходимо запросить для атрибута PrimaryGroupID.

Если более 5000 пользователей нужно добавить в группу, обойти ограничение на 5000 членов групп с помощью вложенных групп группе основной (родительский).
Дополнительная информация
Первичный идентификатор группы (PrimaryGroupID) является целое число, представляющее идентификатор основной группы для данного пользователя.

Следующий пример описывает, как для получения атрибута PrimaryGroupID пользователя с помощью сценария Microsoft Visual Basic (VB):
   Set usr = GetObject("WinNT://TestDomain/JSmith")   UserID = usr.Get("PrimaryGroupID")   MsgBox "The User's Primary Group ID is:"& UserID				
разрешения

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 275523 — последний просмотр: 11/01/2013 10:33:00 — редакция: 6.0

операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbenv kbprb kbmt KB275523 KbMtru
Отзывы и предложения