Sammanfattning
I Microsoft Windows-versioner tidigare än Microsoft Windows 2000 Service Pack 4 (SP4), kan inte begränsade grupper av säkerhetsinställningen i grupprincip användas för att lägga till domängrupper i lokala grupper på datorer. Begränsade grupper beteende har uppdaterats i Microsoft Windows 2000 SP4, Windows Server 2003 och senare versioner. Microsoft Windows XP Service Pack 1 (SP1) krävs en snabbkorrigering för att uppdatera beteendet begränsade grupper, Windows Vista och senare har inbyggda denna uppdatering. Den här artikeln beskrivs ändringar av funktionen.
Mer Information
Med funktionen för begränsade grupper tillhör kan du nu lägga till domängrupper till lokala grupper. Mer information om funktionen begränsade grupper, inklusive medlemmar och Memberof beskrivningar finns i "Begränsade grupper" i produktdokumentationen för Windows Server.
Windows XP
Information om Service pack
Lös problemet genom att skaffa den senaste service Packet för Windows XP. För mer information klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322389 hur du skaffar den senaste service pack-versionen för Windows XP
Information om snabbkorrigeringen
En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd bara den här snabbkorrigeringen för system med just detta problem. Snabbkorrigeringen kan komma att testas igen. Om du inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.
Om snabbkorrigeringen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Om den sektionen saknas, kontakta Microsofts support för att få tag på hotfixen.
Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:
http://support.microsoft.com/contactus/?ws=supportObs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som snabbkorrigeringen är tillgänglig. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket. Den engelska versionen av den här funktionen har de filattribut (eller senare filattribut) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (UTC). När du visar filinformationen konverteras den till lokal tid. Om du vill se skillnaden mellan UTC-tid och lokal tid kan du använda fliken tidszon i verktyget datum och tid på Kontrollpanelen. Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
Lägga till domängrupper i lokala grupper
När du har kontrollerat att funktionen är installerad på alla aktuella datorer, kan du använda inställningen begränsade grupper av att lägga till en domängrupp i en lokal grupp (inbyggd eller anpassad). Du kan definiera medlem av principer för olika grupper i flera grupprincip-objekt (GPO) som är länkade till en webbplats, domän eller en organisationsenhet (OU) och gälla för alla principer. Till exempel som visas i följande tabell kan du skapa en princip som lägger till Domänadministratörer i den lokala gruppen Administratörer och du kan lägga till en princip som lägger till Mina Management Admins-gruppen i den lokala gruppen Administratörer. Den här gruppen är länkat till ett grupprincipobjekt på domännivå. Du kan också skapa en princip som lägger tillför Mina organisatoriska enhet regionala administratörsgruppen för den lokala gruppen Administratörer. Den här gruppen är länkad till en nivå OU-GPO. Alla principer genomdrivs.
Tabell 1: Lägga till domängrupper i lokala grupper
|
Domängrupp som du definierar en princip för begränsade grupper för |
"Medlem av" post: en lokal grupp på medlemsdatorer |
GPO-nivå där en princip för begränsade grupper definieras |
Resultatet |
|---|---|---|---|
|
Domänadministratörer (domän inbyggda) |
Administratörer (lokal inbyggt) |
Domännivå |
Administratörsgruppen innehåller Domänadministratörer, Mina hantering av administratörer och Mina organisatoriska enhet administratörer |
|
Mitt Management-administratörer (egen domän) |
Administratörer (lokal inbyggt) |
Domännivå |
Administratörsgruppen innehåller Domänadministratörer, Mina hantering av administratörer och Mina organisatoriska enhet administratörer |
|
Min organisatoriska enhet regionala administratörer (regionala OU anpassad) |
Administratörer (lokal inbyggt) |
OU-nivå |
Administratörsgruppen innehåller Domänadministratörer, Mina hantering av administratörer och Mina organisatoriska enhet administratörer |
Lägga till samma domängrupp grupper över grupprincipobjekt
Om du skapar flera principer för begränsade grupper för samma grupp i flera grupprincipobjekt har endast en princip gälla. Principer för begränsade grupper för samma grupp inte slår samman över grupprincipobjekt. Den gällande principen bestäms av bearbetningsordning för grupprincip. Information om grupprincip hierarki och arbetsgången finns på följande Microsoft Developer Network-webbplats:
http://msdn2.microsoft.com/en-us/library/aa374155.aspxTill exempel som visas i följande tabell definieras två principer för begränsade grupper för Domänadministratörer. En definieras på domännivå och lägger till Domänadministratörer i den lokala gruppen Administratörer. Den andra är definierad på organisationsenhetsnivå och läggs gruppen Domänadministratörer till mina nationella Division Admins. Domänadministratörer läggs bara till mina nationella Division Admins (som standard grupprincipobjekt som är länkade på OU nivå åsidosätter de som definieras på domännivå).
Tabell 2: Lägga till samma domängrupp grupper över grupprincipobjekt
|
Domängrupp som du definierar en princip för begränsade grupper |
"Medlem av" post: en lokal grupp på medlemsdatorer |
GPO-nivå där en princip för begränsade grupper definieras |
Resultatet |
|---|---|---|---|
|
Domänadministratörer (domän inbyggda) |
Administratörer (lokal inbyggt) |
Domännivå |
På grund av hur grupprincipobjekt bearbetas läggs Domänadministratörer endast till i Mina nationella Division Admins-gruppen. |
|
Domänadministratörer (domän inbyggda) |
Mina nationella Division administratörer (lokal anpassad) |
OU |
På grund av hur grupprincipobjekt bearbetas läggs Domänadministratörer endast till i Mina nationella Division Admins-gruppen. |
Domänkontrollanter
I tidigare versioner av Windows, om en domänkontrollant hanterar en princip för begränsade grupper där avsnittet medlemmar är tomt, bort alla medlemmar från gruppen när principen tillämpas, oavsett inställningen för medlem. Till exempel om du skapar en princip för begränsade grupper på domännivå för domänadministratörer med ett tomt avsnitt medlemmar och lokala administratörer ingår i medlemnär principen tillämpas, tas alla medlemmar i gruppen Domänadministratörer (inklusive det inbyggda administratörskontot) och en tom Domänadministratörer läggs till i den lokala administratörsgruppen.
Funktioner i Windows 2000 SP4, Windows XP med Service Pack 2 (SP2) och Windows Server 2003 har korrigerats. På en dator som kör någon av dessa versioner av Windows, om du använder en princip för begränsade grupper som definierar medlem men lämnar det tomt medlemmar , avsnittet medlemmar ignoreras och gruppmedlemskap inte töms.
Om du planerar att använda funktionen för begränsade grupper som aktiveras av den här uppdateringen för att konfigurera domänkontrollanter, medlemsservrar eller arbetsstationer, kontrollerar du att de alla kör Windows 2000 SP4, Windows XP SP2 eller Windows Server 2003 så att domänmedlemskap inte ändras oavsiktligt.
Beteendet i det här fallet ändras inte för medlemsservrar och arbetsstationer.
Tillämpa principer för "Medlemmar" och "Medlem av" begränsade grupper i en lokal grupp
Det är bäst att definiera en princip för begränsade grupper som lägger till en grupp i en lokal grupp och definiera en annan princip för begränsade grupper som begränsar medlemskap i den lokala gruppen. Det slutliga medlemskapet i den lokala gruppen kan inte förutses eftersom arbetsgång för två principer för begränsade grupper inte är definierad. Till exempel som visas i följande tabell om du skapar en princip för begränsade grupper som lägger till Domänadministratörer i den lokala gruppen Administratörer och om du skapar en princip för begränsade grupper som begränsar medlemskap i den lokala gruppen Administratörer till det inbyggda administratörskontot, förutsäga du inte om någon princip tillämpas. Om Domänadministratörer läggs till i den lokala gruppen Administratörer innan administratörer medlemskapet är begränsad, läggs till i den lokala administratörer-gruppen Domänadministratörer och sedan tas bort. Om det lokala gruppmedlemskapet för administratörer är begränsat innan Domänadministratörer läggs till i gruppen Administratörer, förblir Domänadministratörer i den lokala gruppen Administratörer.
Tabell 3: Lägga till en domängrupp i en lokal grupp med begränsat medlemskap
|
Gruppen som du definierar en princip för begränsade grupper för |
Posten "Medlemmar" |
"Medlem av" post |
Resulterande gruppmedlemskap |
|---|---|---|---|
|
Domänadministratörer (domän inbyggda) |
Ingen |
Administratörer (lokal inbyggt) |
Du kan inte förutsäga det slutliga gruppmedlemskapet för den lokala gruppen Administratörer. |
|
Administratörer (lokal inbyggt) |
Administratör (lokala inbyggt) |
Ingen |
Du kan inte förutsäga det slutliga gruppmedlemskapet för den lokala gruppen Administratörer. |
För att få medlemskap du vill du använda medlemmar eller medlem av begränsad grupp principer exklusivt. I exemplet i tabell 3 får administratörer medlemskap som du vill lägga till Domänadministratörer medlemmar posten för den lokala administratörer begränsade grupper grupprincipen.
Windows 2000
Information om Service pack
Lös problemet genom att skaffa den senaste service Packet för Microsoft Windows 2000. För mer information klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
260910 hur du skaffar den senaste service pack-versionen för Windows 2000
Information om snabbkorrigeringen
En funktion som ändrar standardbeteendet för produkten är tillgänglig från Microsoft. Den här funktionen är emellertid avsedd att lösa problemet som beskrivs i den här artikeln. Använd den här funktionen endast på datorer som verkligen behöver den.
Om funktionen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Inte kontaktar du Microsoft Support för att få funktionen.
Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den aktuella funktionen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:
http://support.microsoft.com/contactus/?ws=supportObs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som funktionen är tillgänglig. Om ditt språk inte visas beror det på att funktionen inte är tillgänglig för språket. Den engelska versionen av den här snabbkorrigeringen har de filattribut (eller senare filattribut) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (UTC). När du visar filinformationen konverteras den till lokal tid. Om du vill se skillnaden mellan UTC-tid och lokal tid kan du använda fliken tidszon i verktyget datum och tid på Kontrollpanelen.
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit
Mer information om hur du skaffar en snabbkorrigering för Windows 2000 Datacenter Server klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
265173 Datacenter-programmet och Windows 2000 Datacenter Server-produkten
Mer information om hur du installerar flera uppdateringar eller snabbkorrigeringar när du startar om en gång klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
296861 hur du installerar flera uppdateringar eller snabbkorrigeringar med bara en omstart
