Загальні відомості
У версіях Microsoft Windows, раніше, ніж Microsoft Windows 2000 з пакетом оновлень 4 (SP4) у групах з обмеженим доступом, членом безпеки настройки групової політики не можна використовувати для додавання групах домену, до локальної групи на комп'ютерах. Поведінка обмежена групи оновлено у Microsoft Windows 2000 SP4 немає, Windows Server 2003 і нові версії. Пакет оновлень 1 (SP1), потрібно термінове виправлення для оновлення поведінки групах з обмеженим доступом, Windows Vista та новіші інстальовано це поновлення, вбудований. У цій статті описано, зміни, внесені до функції.
Додаткові відомості
З функціональністю групах з обмеженим доступом, член тепер можна додати групах домену на локальних групах. Щоб отримати додаткові відомості про функцію групах з обмеженим доступом, члени та член описом див. "Обмежені групи" документації Windows Server.
Windows XP
Відомості про пакет оновлень
Для усунення цієї проблеми, отримати найновіший пакет оновлень для Windows XP. Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
322389 як отримати найновіший пакет оновлень Windows XP
Відомості про виправлень
Виправлення доступне від корпорації Майкрософт. Проте, це виправлення призначене тільки для вирішення проблеми, описаної в цій статті. Застосовуйте це виправлення лише до систем, які зазнають цієї конкретної проблеми. Це виправлення може отримати додаткове тестування. Тому, якщо ця проблема не сильно впливає на вас, ми рекомендуємо почекати наступного оновлення програмного забезпечення, що містить це виправлення.
Якщо Виправлення доступне для завантаження, є розділ "Виправлення доступне для завантаження" на початку цієї статті бази знань. Якщо цей розділ не відображається, зверніться до служби підтримки клієнтів Microsoft, щоб отримати виправлення.
Примітка. Якщо виникають додаткові проблеми, або потрібно виявлення проблем, можливо, доведеться створити окремий запит на обслуговування. Звичайні кошти на технічну підтримку будуть застосовуватися для додаткових питань і проблем, які не пов'язані з цим виправленням. Повний список телефонів служби підтримки клієнтів Microsoft а також підтримки або створити окремий запит на обслуговування відвідайте веб-сайт корпорації Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримітка. У формі "Виправлення доступне для завантаження" відображається список мов, для яких це виправлення доступне. Якщо потрібна мова не відображається, то виправлення недоступне для даної мови. Англійська версія цієї функції, має атрибути файлів (або новіші атрибути файлів) подані в нижченаведеній таблиці. Значення дати й часу для цих файлів наведено за всесвітнім координованим часом (UTC). Переглядаючи відомості про файл, час конвертується у місцевий час. Щоб визначити різницю між UTC і місцевим часом, за допомогою вкладки часового поясу у засобі Дата й час на панелі керування.
Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
Додавання локальних групах домену груп
Після перевірки функції на якому інстальовано всі комп'ютери, додати групу домену, до локальної групи (вбудовані або користувача) можна групах з обмеженим доступом, членом настройку. Можна визначити політики членом групи в кількох об'єктів групової політики (GPO), які пов'язані з будь-якого сайту, будь-який домен або будь-які організаційного підрозділу (ОП), і всі політики, набули чинності. Наприклад, як показано в наведеній нижче таблиці, можна створити політику, яке додає адміністраторів домену до групи локальних адміністраторів, а також можна додати політики, яке додає групи адміністраторів DHCP мій керування до групи локальних адміністраторів. Групи пов'язаний об'єкт групової політики для рівня домену. Також можна створити політику, яке додає до мій організаційного підрозділу регіональних групи адміністраторів DHCP до групи локальних адміністраторів. Пов'язаний з підрозділу рівня GPO цієї групи. Усі політики виконуються.
Таблиця 1: Додавання локальних групах домену груп
|
Домену групи, які ви визначаєте обмежених груп політики для |
"Член" запис: локальної групи на комп'ютерах |
Рівень GPO, де визначається обмежених груп політики |
Результати |
|---|---|---|---|
|
Адміністраторів до домену (домен вбудовані) |
Адміністратори (локальні вбудовані) |
Рівень домену |
Групи адміністраторів, містить Адміністратори домену "," мої адміністраторам для керування "та" мій-організаційного підрозділу адміністратори |
|
Мої керування адміністратори (домен користувача) |
Адміністратори (локальні вбудовані) |
Рівень домену |
Групи адміністраторів, містить Адміністратори домену "," мої адміністраторам для керування "та" мій-організаційного підрозділу адміністратори |
|
Мій організаційного підрозділу регіональних адміністратори (регіональних-підрозділу користувача) |
Адміністратори (локальні вбудовані) |
OU рівень |
Групи адміністраторів, містить Адміністратори домену "," мої адміністраторам для керування "та" мій-організаційного підрозділу адміністратори |
Додавання одного домену група локальних групах через об'єкти групової політики
Якщо створити кілька обмежених груп політики, для тієї ж групи в кількох GPO, лише одна з цих політик наберуть сили. Обмежені груп політики, для тієї ж групи не злиття через об'єкти групової політики. Ефективна політика визначає порядок обробку групової політики. Відомості про групову політику ієрархії та обробка замовлення перейдіть до розробника мережі веб-сайт Microsoft:
http://msdn2.microsoft.com/en-us/library/aa374155.aspxНаприклад, як показано в наведеній нижче таблиці, дві обмежені групові політики визначені для адміністраторів домену. Один визначається на рівні домену і додає адміністраторів домену, до групи локальних адміністраторів. Інші визначається на рівні ОП і додає групи адміністраторів домену мій регіональний розподіл адміністраторів DHCP. Адміністратори домену лише буде додано до мій регіональний розподіл адміністраторів DHCP (за промовчанням, об'єкти групової політики, які посилаються на рівні OU має перевагу над ті, які визначаються на рівні домену).
Таблиця 2: Додавання одного домену група локальних групах через об'єкти групової політики
|
Група домену, для якого визначається обмежених груп політики |
"Член" запис: локальної групи на комп'ютерах |
Рівень групової політики, де визначено обмеження груп політики |
Результати |
|---|---|---|---|
|
Адміністратори домену, (вбудовані домен) |
Адміністратори (локальні вбудовані) |
Рівень домену |
Через те, як обробляються об'єкти групової політики Адміністратори домену лише можна додати до групи мої регіональний розподіл адміністраторів DHCP. |
|
Адміністраторів до домену (домен вбудовані) |
Моя регіональний розподіл адміністратори (локального користувача) |
ОП |
Через те, як обробляються об'єкти групової політики Адміністратори домену тільки можна додати до групи мої регіональний розподіл адміністраторів DHCP. |
Контролери домену
У попередніх версіях Windows, якщо контролер домену процесів, обмежених груп політики, в якому розділі члени залишиться пустим, всіх членів очищення від групи, якщо застосовано політику, незалежно від того, значення параметра членом. Наприклад, після створення політику обмежених груп на рівні домену для адміністраторів домену порожній учасників -розділ та локальні адміністратори зазначені в членомзастосовано політику, всі члени групи адміністраторів домену, буде видалено (включно із вбудованим обліковим записом адміністратора), і на пустий групи адміністраторів домену, що додається до групи локальних адміністраторів.
Було виправлено проблему, у Windows 2000 SP4, Windows XP служба з пакетом оновлень 2 (SP2) і Windows Server 2003. На комп'ютері під керуванням однієї з цих версій Windows, якщо застосування політики групах з обмеженим доступом, визначає учасником , але залишає членів пустим, члени розділ ігнорується, і членства в групах, не буде очищено.
Планується використання функцій групах з обмеженим доступом, що це оновлення налаштування контролерів домену, рядові сервери або робочих станціях, переконайтеся, що вони все, що використовують Windows 2000 SP4, Windows XP SP2 або Windows Server 2003 таким чином, членство в домені групи не буде змінено випадково.
Рядові сервери і робочих станціях поведінку, у цьому випадку залишається незмінним.
Застосування політики "Членів" і "Член" групах з обмеженим доступом до локальної групи
Рекомендовано для визначення політики обмеження груп, додає Група домену до локальної групи а також визначити іншу політику групах з обмеженим доступом, яке обмежує локального членства в групах. Останній участь локальної групи не передбачені, тому, що не визначає порядок обробки двох політик обмежених груп. Наприклад, як показано в таблиці нижче, якщо ви створюєте політики обмеження груп, додає адміністраторів домену до групи локальних адміністраторів, і після створення політику групах з обмеженим доступом, який обмежує членом локальної групи адміністраторів вбудованим обліковим записом адміністратора, щоб, ви не передбачати, якщо буде дотримуватися будь-якому політики. Адміністратори домену додали до групи локальних адміністраторів, перш ніж адміністратори членство обмежено, Адміністратори домену додано до групи локальних адміністраторів і потім видалено. Проте якщо локальні адміністратори членства в групах обмежена адміністраторів домену буде додано до групи адміністраторів, Адміністратори домену залишиться із локальної групи адміністраторів.
Таблиця 3: Додаючи групи домену до локальної групи з обмеженим членство
|
Визначити політику обмеження груп для групи |
"Членів" запис. |
"Член" запис. |
Отриманий членства в групах. |
|---|---|---|---|
|
Адміністратори домену, (вбудовані домен) |
Немає |
Адміністратори (локальні вбудовані) |
Не може передбачати, остаточне групах групи локальних адміністраторів. |
|
Адміністратори (локальний вбудовані) |
Адміністратора (локальний вбудовані) |
Немає |
Не може передбачати, остаточне групах групи локальних адміністраторів. |
Щоб отримати членства, які слід використовувати виключно членів "або" членом обмежені групової політики. У наведеному прикладі таблиця 3 для отримання членства, які потрібно додати запис учасників для локальних адміністраторів групової політики обмеження групи адміністраторів домену групи адміністраторів.
Windows 2000
Відомості про пакет оновлень
Щоб вирішити цю проблему, отримати найновіший пакет оновлень для Microsoft Windows 2000. Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
260910 як отримати найновіший пакет оновлень для Windows 2000
Відомості про виправлень
Від корпорації Майкрософт доступна підтримувана функція, яка змінює поведінку продукту за промовчанням. Проте ця функція призначена для змінення лише режиму роботи, у цій статті описано. Застосовуйте цю функцію, лише до систем, які її вимагають.
Якщо функція доступна для завантаження, є розділ "Виправлення доступне" у верхній частині цієї статті бази знань. Якщо цей розділ не відображається, зверніться до служби підтримки клієнтів Microsoft для отримання функції.
Примітка. Якщо виникають додаткові проблеми, або потрібно виявлення проблем, можливо, доведеться створити окремий запит на обслуговування. Плата стягується на додаткові питання і проблеми, які не пов'язані з цією функцією. Повний список телефонів служби підтримки клієнтів Microsoft а також підтримки або створити окремий запит на обслуговування відвідайте веб-сайт корпорації Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримітка. У формі "Виправлення доступне для завантаження", відображається список мов, для яких ця функція доступна. Якщо потрібна мова не відображається, це тому, що функція недоступна для цієї мови. Англійська версія цього виправлення, має атрибути файлів (або новіші атрибути файлів) подані в нижченаведеній таблиці. Значення дати й часу для цих файлів наведено за всесвітнім координованим часом (UTC). Переглядаючи відомості про файл, час конвертується у місцевий час. Щоб визначити різницю між UTC і місцевим часом, за допомогою вкладки часового поясу у засобі Дата й час на панелі керування.
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit Щоб отримати додаткові відомості про отримання виправлення для Windows 2000 Datacenter Server клацніть номер статті в базі знань Microsoft Knowledge Base:
265173 програма Datacenter і Windows 2000 Datacenter Server продукту
Щоб отримати додаткові відомості про інсталяцію кількох оновлень Windows або виправлення, під час перезапуску лише один раз клацніть номер статті в базі знань Microsoft Knowledge Base:
296861 як інсталяції кількох оновлень або поточних виправлень, з одного перезавантаження.
