Cập Nhật của các nhóm bị giới hạn ("thành viên của") hành vi của người dùng xác định các nhóm địa phương

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:810076
TÓM TẮT
Trong phiên bản của Microsoft Windows sớm hơn so với Microsoft Windows 2000 Service Pack 4 (SP4), các nhóm bị giới hạn Thành viên củathiết đặt an ninh trong chính sách nhóm không thể được sử dụng để thêm tên miền nhóm vào các nhóm địa phương trên tài khoản của máy tính. Các nhóm bị giới hạn hành vi được Cập Nhật trong Microsoft Windows 2000 SP4, Windows Server 2003 và phiên bản mới hơn. Microsoft Windows XP Service Pack 1 (SP1) đòi hỏi một hotfix để cập nhật các nhóm bị giới hạn hành vi, Windows Vista và mới hơn có sẵn trong bản cập nhật này. Bài viết này mô tả những thay đổi tính năng.
THÔNG TIN THÊM
Với các nhóm bị giới hạn Thành viên của chức năng, bạn có thể bây giờ thêm tên miền nhóm vào các nhóm địa phương. Cho thông tin thêm về các tính năng bị giới hạn các nhóm, bao gồm cả Các thành viênMemberof mô tả, xem "Các nhóm bị giới hạn" trong Windows Server tài liệu sản phẩm.

Windows XP

Dịch vụ gói thông tin

Để giải quyết vấn đề này, có được gói dịch vụ mới nhất cho Windows XP. Để biết thêm thông tin, bấm số bài viết sau đây để xem các bài viết trong các Cơ sở kiến thức Microsoft:
322389 Làm thế nào để có được Windows XP service pack mới nhất

Thông tin hotfix

Một hotfix được hỗ trợ có sẵn từ Microsoft. Tuy nhiên, hotfix này là nhằm khắc phục chỉ sự cố được mô tả trong bài viết này. Hotfix này chỉ áp dụng cho hệ thống đang gặp vấn đề này cụ thể. Hotfix này có thể nhận được thử nghiệm bổ sung. Vì vậy, nếu bạn không bị ảnh hưởng bởi vấn đề này, chúng tôi đề nghị bạn đợi cho Cập Nhật tiếp theo của phần mềm có chứa hotfix này.

Nếu các hotfix có sẵn để tải về, không có một phần "Hotfix tải về có sẵn" ở đầu bài viết cơ sở kiến thức này. Nếu phần này không xuất hiện, liên hệ với dịch vụ khách hàng của Microsoft và hỗ trợ để có được các hotfix.

Lưu ý Nếu vấn đề khác xảy ra hoặc nếu bất cứ xử lý sự cố là cần thiết, bạn có thể phải tạo một yêu cầu dịch vụ riêng biệt. Các chi phí hỗ trợ thông thường sẽ áp dụng để hỗ trợ thêm câu hỏi và vấn đề mà không đủ điều kiện cho hotfix này cụ thể. Đối với một danh sách đầy đủ của Microsoft dịch vụ khách hàng và hỗ trợ số điện thoại hoặc để tạo ra một yêu cầu dịch vụ riêng biệt, ghé thăm Web site sau của Microsoft: Lưu ý Các hình thức "Hotfix download available" hiển thị các ngôn ngữ mà các hotfix có sẵn. Nếu bạn không nhìn thấy ngôn ngữ của bạn, đó là vì một hotfix là không có sẵn cho ngôn ngữ đó. Bản tiếng Anh của tính năng này có tập tin thuộc tính (hoặc sau này tập tin thuộc tính) mà được liệt kê trong bảng sau. Ngày tháng và thời gian cho các tập tin được liệt kê trong giờ phối hợp quốc tế (UTC). Khi bạn xem chi tieát taäp tin, nó được chuyển đổi thành giờ cục bộ. Để tìm sự khác nhau giữa UTC và local time, sử dụng các Thời gian Khu vực thẻ công cụ ngày và thời gian trong bảng điều khiển.
   Date         Time   Version        Size     File name   Platform   ----------------------------------------------------------------   31-Jan-2003  02:53  5.1.2600.1163  849,408  Scesrv.dll  IA64   31-Jan-2003  02:53  5.1.2600.1163  307,712  Scesrv.dll  i386

Thêm miền nhóm vào các nhóm địa phương

Sau khi bạn đã xác minh rằng các tính năng được cài đặt trên tất cả các máy vi tính thích hợp, bạn có thể sử dụng các nhóm bị giới hạn Thành viên của thiết lập để thêm một nhóm các tên miền cho một nhóm địa phương (được xây dựng trong hoặc tùy chỉnh). Bạn có thể xác định Thành viên của các chính sách cho các nhóm riêng biệt trong nhiều đối tượng chính sách nhóm (GPOs) mà được liên kết với bất kỳ trang web, bất kỳ tên miền hoặc bất kỳ đơn vị tổ chức (OU), và tất cả các chính sách có hiệu lực. Ví dụ, như minh họa trong các sau bảng, bạn có thể tạo ra một chính sách có thêm quản trị viên tên miền để các địa phương Nhóm quản trị viên, và bạn có thể thêm một chính sách có thêm quản trị viên quản lý của tôi nhóm vào nhóm quản trị viên địa phương. Nhóm này được liên kết với một tên miền cấp GPO. Bạn cũng có thể tạo ra một chính sách cho biết thêm các My tổ chức đơn vị Regional Quản trị viên nhóm cho nhóm người quản trị địa phương. Nhóm này được liên kết với một OU cấp GPO. Tất cả các chính sách được thi hành.

Bảng 1: Thêm tên miền nhóm vào các nhóm địa phương
Tên miền nhóm bạn xác định một chính sách hạn chế các nhóm cho"Thành viên của" mục: nhóm địa phương trên tài khoản của máy tínhGPO cấp nơi chính sách hạn chế các nhóm được định nghĩaKết quả
Quản trị viên tên miền (tên miền được xây dựng trong)Quản trị viên (local Built-in)Tên miền cấpNhóm người quản trị có tên miền Quản trị viên, quản trị viên quản lý của tôi và tôi quản trị viên đơn vị tổ chức
Tôi quản trị viên quản lý (miền tùy chỉnh)Quản trị viên (địa phương built-in)Tên miền cấpNhóm người quản trị có Quản trị viên tên miền, quản trị viên quản lý của tôi và tôi quản trị viên đơn vị tổ chức
Quản trị của tôi tổ chức đơn vị trong khu vực viên (khu vực OU tùy chỉnh)Quản trị viên (địa phương built-in)OU mức độNhóm người quản trị có quản trị viên tên miền, quản lý của tôi Quản trị viên, và tôi quản trị viên đơn vị tổ chức

Thêm cùng một tên miền nhóm vào các nhóm địa phương trên khắp GPOs

Nếu bạn tạo nhiều bị giới hạn các nhóm chính sách cho cùng nhóm trong nhiều GPOs, chỉ có một chính sách có hiệu lực. Các nhóm bị giới hạn các chính sách cho cùng một nhóm không hợp nhất trên GPOs. Các chính sách có hiệu quả là xác định theo lệnh của việc xử lý chính sách nhóm. Thông tin về Nhóm chính sách phân cấp và xử lý đơn đặt hàng, truy cập vào Microsoft sau Nhà phát triển mạng lưới trang web:Ví dụ, như minh họa trong bảng sau, hai Restricted Chính sách nhóm được xác định cho quản trị viên tên miền. Một trong những xác định tên miền cấp và thêm quản trị viên tên miền vào nhóm quản trị viên địa phương. Khác là được xác định ở mức độ OU và thêm nhóm quản trị viên tên miền của tôi trong khu vực Bộ phận quản trị viên. Quản trị viên tên miền sẽ chỉ được thêm vào Mỹ bộ phận Quản trị viên (theo mặc định, GPOs được liên kết và ghi đè cấp OU những người mà được xác định ở cấp độ tên miền).

Bảng 2: Thêm cùng một tên miền nhóm vào các nhóm địa phương trên khắp GPOs
Tên miền nhóm mà bạn định nghĩa một nhóm bị giới hạn chính sách"Thành viên của" mục: nhóm địa phương trên tài khoản của máy tínhGPO cấp nơi bị giới hạn các nhóm chính sách được định nghĩaKết quả
Quản trị viên tên miền (tên miền được xây dựng trong)Quản trị viên (local Built-in)Tên miền cấpVì của bao GPOs được chế biến, Quản trị viên tên miền sẽ chỉ được thêm vào nhóm quản trị viên bộ phận trong khu vực của tôi.
Quản trị viên tên miền (tên miền được xây dựng trong)Bộ phận của tôi Quản trị viên (tuỳ chỉnh địa phương)OUVì của bao GPOs được chế biến, Quản trị viên tên miền sẽ chỉ được thêm vào nhóm quản trị viên bộ phận trong khu vực của tôi.

Bộ kiểm soát miền

Trong phiên bản trước của Windows, nếu điều khiển vùng xử lý một chính sách hạn chế các nhóm mà trong đó các Các thành viên phần còn lại trống, tất cả thành viên đang bị thanh lọc từ nhóm khi các chính sách được áp dụng, bất kể của các thiết lập cho Thành viên của. Ví dụ, nếu bạn tạo ra một chính sách hạn chế các nhóm và các tên miền cấp cho quản trị viên tên miền với một trống Các thành viên phần và nếu bạn có quản trị viên địa phương trong Thành viên của, khi các chính sách được áp dụng, tất cả thành viên của các quản trị viên tên miền nhóm sẽ bị xoá (bao gồm xây dựng trong tài khoản quản trị), và một sản phẩm nào Nhóm quản trị viên tên miền sẽ được thêm vào nhóm quản trị viên địa phương.

Các hành vi trong Windows 2000 SP4, Windows XP với Service Pack 2 (SP2) và Windows Server 2003 đã được sửa chữa. Trên một máy tính đang chạy một trong những Phiên bản của Windows, nếu bạn áp dụng một chính sách nhóm bị giới hạn định nghĩa Thành viên của nhưng lá Các thành viên trống, các Các thành viên phần bỏ qua, và không phải là thành viên nhóm làm trống.

Nếu bạn định sử dụng các chức năng bị giới hạn các nhóm mà được kích hoạt bởi bản cập nhật này để cấu hình bộ kiểm soát miền, tài khoản của các máy chủ, hoặc máy trạm làm việc, đảm bảo rằng họ đang tất cả chạy Windows 2000 SP4, Windows XP SP2 hoặc Windows Server 2003 do đó, tên miền đó nhóm thành viên không thay đổi không cố ý.

Đối với tài khoản của các máy chủ và máy trạm làm việc, hành vi trong kịch bản này vẫn không thay đổi.

Việc áp dụng các chính sách "Thành viên" và "Thành viên của" các nhóm bị giới hạn cho một nhóm địa phương

Tốt nhất để xác định một chính sách hạn chế các nhóm cho biết thêm rằng một Domain group để một nhóm địa phương và để xác định một bị giới hạn các nhóm chính sách đó hạn chế thành viên nhóm địa phương đó. Các thành viên cuối cùng nhóm của nhóm địa phương đó không thể được dự đoán bởi vì bộ xử lý của hai Chính sách nhóm bị giới hạn không xác định. Ví dụ, như minh họa trong các bảng dưới đây, nếu bạn tạo ra một chính sách hạn chế các nhóm có thêm tên miền Quản trị viên để nhóm quản trị viên địa phương và nếu bạn tạo một nhóm bị giới hạn chính sách giới hạn thành viên của nhóm quản trị viên địa phương để built-in Tài khoản quản trị, bạn không thể dự đoán nếu chính sách hoặc là sẽ được áp dụng. Nếu Quản trị viên tên miền được bổ sung vào nhóm quản trị viên địa phương trước khi các Quản trị viên thành viên được giới hạn, quản trị viên tên miền sẽ được thêm vào các địa phương Quản trị viên nhóm và sau đó bị loại bỏ. Tuy nhiên, nếu các quản trị viên địa phương thành viên nhóm được giới hạn trước khi quản trị viên tên miền sẽ được thêm vào các quản trị viên nhóm, quản trị viên tên miền sẽ vẫn ở nhóm quản trị viên địa phương.

Bảng 3: Thêm một nhóm các tên miền cho một nhóm địa phương với các thành viên bị giới hạn
Nhóm bạn xác định một chính sách hạn chế các nhóm choMục nhập "Thành viên"Mục nhập "Thành viên của"Kết quả nhóm thành viên
Quản trị viên tên miền (tên miền Built-in)Không cóQuản trị viên (địa phương built-in)Bạn không thể dự đoán các thành viên cuối cùng nhóm của nhóm quản trị viên địa phương.
Quản trị viên (địa phương built-in)Quản trị (local Built-in)Không có Bạn không thể dự đoán cuối cùng nhóm thành viên cho nhóm người quản trị địa phương.
Để có được các thành viên mà bạn muốn, sử dụng một trong hai Các thành viên hoặc Thành viên của Hạn chế chính sách nhóm độc quyền. Trong ví dụ trong bảng 3, để có được các quản trị viên nhóm thành viên mà bạn muốn, thêm quản trị viên tên miền để các Các thành viên mục cho các quản trị viên nhóm bị giới hạn nhóm địa phương chính sách.

Windows 2000

Dịch vụ gói thông tin

Để giải quyết vấn đề này, có được các mới nhất gói dịch vụ cho Microsoft Windows 2000. Để biết thêm chi tiết, bấm vào các số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
260910 Làm thế nào để có được Windows 2000 service pack mới nhất

Thông tin hotfix

Một tính năng được hỗ trợ sửa đổi hành vi mặc định của sản phẩm có sẵn từ Microsoft. Tuy nhiên, tính năng này được dự định để sửa đổi chỉ hành vi đó bài viết này mô tả. Tính năng này chỉ áp dụng cho hệ thống cụ thể yêu cầu nó.

Nếu tính năng có sẵn để tải về, đó là một "Hotfix download available" phần đầu của bài viết cơ sở kiến thức này. Nếu phần này không xuất hiện, liên hệ với dịch vụ khách hàng của Microsoft và hỗ trợ để có được các tính năng.

Lưu ý Nếu vấn đề khác xảy ra hoặc nếu bất cứ xử lý sự cố là cần thiết, bạn có thể phải tạo một yêu cầu dịch vụ riêng biệt. Các chi phí hỗ trợ thông thường sẽ áp dụng để hỗ trợ thêm câu hỏi và vấn đề mà không đủ điều kiện cho tính năng cụ thể này. Đối với một danh sách đầy đủ của Microsoft dịch vụ khách hàng và hỗ trợ số điện thoại hoặc để tạo ra một yêu cầu dịch vụ riêng biệt, ghé thăm Web site sau của Microsoft: Lưu ý Các hình thức "Hotfix download available" hiển thị các ngôn ngữ mà các tính năng có sẵn. Nếu bạn không nhìn thấy ngôn ngữ của bạn, đó là bởi vì các tính năng không có sẵn cho ngôn ngữ đó. Bản tiếng Anh của hotfix này có các tập tin thuộc tính (hoặc sau này tập tin thuộc tính) mà được liệt kê trong bảng sau. Ngày tháng và thời gian cho các tập tin được liệt kê trong giờ phối hợp quốc tế (UTC). Khi bạn xem chi tieát taäp tin, nó được chuyển đổi thành giờ cục bộ. Để tìm sự khác nhau giữa UTC và local time, sử dụng các Thời gian Khu vực tab trong ngày và thời gian công cụ kiểm soát Bảng điều khiển.
 Date        Time     Version         Size       File name ------------------------------------------------------------- 07-Nov-2002  22:33   5.0.2195.6109    124,688   Adsldp.dll 07-Nov-2002  22:33   5.0.2195.5781    131,344   Adsldpc.dll 07-Nov-2002  22:33   5.0.2195.6109     62,736   Adsmsext.dll 07-Nov-2002  22:33   5.0.2195.6052    358,160   Advapi32.dll 07-Nov-2002  22:33   5.0.2195.6094     49,936   Browser.dll 07-Nov-2002  22:33   5.0.2195.6012    135,952   Dnsapi.dll 07-Nov-2002  22:33   5.0.2195.6076     96,016   Dnsrslvr.dll 15-Nov-2001  23:27                      5,149   Empty.cat 07-Nov-2002  22:33   5.0.2195.5722     45,328   Eventlog.dll 07-Nov-2002  22:33   5.0.2195.6059    146,704   Kdcsvc.dll 01-Nov-2002  18:52   5.0.2195.6112    204,048   Kerberos.dll 21-Aug-2002  16:27   5.0.2195.6023     71,248   Ksecdd.sys 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll 07-Nov-2002  02:02   5.0.2195.6118     33,552   Lsass.exe 27-Aug-2002  22:53   5.0.2195.6034    108,816   Msv1_0.dll 07-Nov-2002  22:33   5.0.2195.5979    307,472   Netapi32.dll 07-Nov-2002  22:33   5.0.2195.6075    360,720   Netlogon.dll 07-Nov-2002  22:33   5.0.2195.6100    920,848   Ntdsa.dll 07-Nov-2002  22:33   5.0.2195.6100    389,392   Samsrv.dll 07-Nov-2002  22:33   5.0.2195.6120    130,320   Scecli.dll 07-Nov-2002  22:33   5.0.2195.6120    303,888   Scesrv.dll 07-Nov-2002  01:56   5.0.2195.6118    139,264   Sp3res.dll 07-Nov-2002  00:05         5.3.9.0      4,096   Spmsg.dll 07-Nov-2002  00:06         5.3.9.0     87,040   Spuninst.exe 07-Nov-2002  22:33   5.0.2195.5859     48,912   W32time.dll 04-Jun-2002  21:32   5.0.2195.5859     57,104   W32tm.exe 07-Nov-2002  22:33   5.0.2195.6100    126,224   Wldap32.dll 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll     --   56-bit 
Để biết thêm thông tin về làm thế nào để có được một hotfix cho Windows 2000 Datacenter Server, bấm vào bài viết sau đây số để xem bài viết trong cơ sở kiến thức Microsoft:
265173Các sản phẩm Trung tâm dữ liệu chương trình và Windows 2000 Datacenter Server
Để biết thêm về cách cài đặt nhiều cửa sổ bản cập nhật hoặc hotfixes trong khi khởi động lại chỉ một lần, bấm vào bài viết sau đây số để xem bài viết trong cơ sở kiến thức Microsoft:
296861Làm thế nào để cài đặt nhiều bản cập nhật Windows hoặc hotfixes với chỉ có một khởi động lại

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 810076 - Xem lại Lần cuối: 02/09/2012 08:32:00 - Bản sửa đổi: 3.0

Microsoft Windows 2000 Service Pack 4, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Microsoft Windows XP Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate

  • kbautohotfix kbhotfixserver kbqfe kbwinxpsp2fix kbsecurity kbwin2ksp4fix kbwin2000presp4fix kbfix kbmt KB810076 KbMtvi
Phản hồi