Tóm tắt
Phiên bản Microsoft Windows trước đó với Microsoft Windows 2000 Service Pack 4 (SP4), thiết đặt bảo mật giới hạn nhóm thành viên của nhóm chính sách không thể sử dụng để thêm tên miền Nhóm Nhóm Cục bộ trên máy tính thành viên. Hành vi giới hạn nhóm được Cập Nhật trong Microsoft Windows 2000 SP4, Windows Server 2003 và phiên bản mới hơn. Microsoft Windows XP Gói Dịch vụ 1 (SP1) yêu cầu hotfix để Cập Nhật chế độ giới hạn nhóm, Windows Vista và mới hơn có sẵn bản cập nhật này. Bài viết này mô tả các thay đổi đối với các tính năng.
Thông tin
Với chức năng giới hạn nhóm thành viên , bây giờ bạn có thể thêm miền Nhóm Nhóm Cục bộ. Để biết thêm thông tin về các tính năng giới hạn nhóm, bao gồm các thành viên và Memberof mô tả, hãy xem "Giới hạn nhóm" trong tài liệu sản phẩm Windows Server.
Windows XP
Thông tin gói dịch vụ
Để khắc phục sự cố này, tải gói dịch vụ mới nhất dành cho Windows XP. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
322389 cách lấy gói dịch vụ Windows XP mới nhất
Thông tin về cập nhật nóng
Cập nhật nóng được hỗ trợ do Microsoft cung cấp. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng cập nhật nóng này cho hệ thống đang gặp sự cố cụ thể này. Cập nhật nóng này có thể được kiểm tra thêm. Vì vậy, nếu bạn không bị ảnh hưởng nghiêm trọng bởi sự cố này, chúng tôi khuyên bạn đợi bản cập nhật phần mềm tiếp theo có chứa cập nhật nóng này.
Nếu cập nhật nóng này sẵn có để tải xuống thì sẽ có phần "Cập nhật nóng có sẵn để tải xuống" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy liên hệ với Dịch vụ Khách hàng và Bộ phận Hỗ trợ của Microsoft để nhận được các cập nhật nóng.
Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy ghé thăm Web site sau của Microsoft:
http://support.microsoft.com/contactus/?ws=supportLưu ý Mẫu "Tải xuống cập nhật nóng sẵn có" hiển thị các ngôn ngữ mà cập nhật nóng này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó. Tiếng Anh các phiên bản của tính năng này có thuộc tính tệp (hoặc các thuộc tính tệp mới hơn) được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Quốc tế Phối hợp (UTC). Khi bạn xem thông tin về tệp, ngày và giờ được chuyển đổi thành giờ địa phương. Để tìm sự khác nhau giữa UTC và giờ địa phương, sử dụng tab múi giờ trong công cụ ngày và giờ trong Pa-nen điều khiển.
Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
Thêm miền Nhóm Nhóm Cục bộ
Sau khi bạn đã xác minh rằng các tính năng được cài đặt trên tất cả các máy tính phù hợp, bạn có thể sử dụng thiết lập giới hạn nhóm thành viên thêm nhóm miền cho một nhóm cục bộ (tích hợp hoặc tùy chỉnh). Bạn có thể xác định chính sách thành viên của nhóm riêng biệt trong nhiều đối tượng chính sách Nhóm (GPO) được liên kết với bất kỳ trang web, bất kỳ tên miền hoặc bất kỳ đơn vị tổ chức (OU) và tất cả các chính sách có hiệu lực. Ví dụ, như minh họa trong bảng sau đây, bạn có thể tạo một chính sách thêm quản trị miền vào nhóm quản trị viên cục bộ, và bạn có thể thêm một chính sách Nhóm quản trị quản lý của tôi thêm vào nhóm quản trị viên cục bộ. Nhóm này được liên kết với GPO cấp tên miền. Bạn cũng có thể tạo một chính sách nhóm của tôi quản trị khu vực đơn vị tổ chức thêm nhóm quản trị viên cục bộ. Nhóm này được liên kết với một đơn vị tổ chức cấp GPO. Tất cả các chính sách được áp dụng.
Bảng 1: Thêm miền Nhóm Nhóm Cục bộ
|
Nhóm miền mà bạn xác định chính sách Nhóm hạn chế nhất |
Cụm từ "Thành viên": Nhóm Cục bộ trên máy tính thành viên |
GPO cấp vị trí chính sách nhóm giới hạn được xác định |
Kết quả |
|---|---|---|---|
|
Quản trị tên miền (tên miền sẵn) |
Quản trị viên (địa phương sẵn) |
Cấp tên miền |
Nhóm quản trị viên có quản trị viên miền, tôi quản lý quản trị và quản trị đơn vị tổ chức của tôi |
|
Tôi quản trị quản lý (miền tuỳ chỉnh) |
Quản trị viên (cục bộ sẵn) |
Tên miền cấp |
Nhóm quản trị viên có quản trị viên miền, tôi quản lý quản trị và quản trị đơn vị tổ chức của tôi |
|
Đơn vị tổ chức của tôi quản trị khu vực (khu vực OU tuỳ chỉnh) |
Quản trị viên (cục bộ sẵn) |
Đơn vị tổ chức cấp |
Nhóm quản trị viên có quản trị viên miền, tôi quản lý quản trị và quản trị đơn vị tổ chức của tôi |
Thêm nhóm miền cùng một nhóm cục bộ trên GPO
Nếu bạn tạo nhiều chính sách nhóm giới hạn cùng một nhóm trong nhiều GPO, chỉ có một chính sách sẽ có hiệu lực. Hạn chế chính sách nhóm cùng một nhóm không kết hợp trên GPO. Chính sách hiệu quả được xác định theo thứ tự xử lý chính sách nhóm. Để biết thông tin về hệ thống chính sách nhóm và bộ xử lý, hãy truy cập Microsoft Developer Network Web site sau:
http://msdn2.microsoft.com/en-us/library/aa374155.aspxVí dụ, như minh họa trong bảng sau, hai chính sách hạn chế nhóm được xác định cho quản trị viên miền. Một được xác định ở cấp độ miền và thêm quản trị miền vào nhóm quản trị viên cục bộ. Khác được xác định độ OU và thêm nhóm quản trị viên miền để quản trị chia khu vực của tôi. Quản trị viên miền sẽ chỉ được thêm vào quản trị chia khu vực của tôi (theo mặc định, GPO được liên kết ở đơn vị tổ chức cấp ghi đè các được xác định ở cấp độ miền).
Bảng 2: Thêm nhóm miền cùng một nhóm cục bộ trên GPO
|
Miền nhóm mà bạn xác định chính sách nhóm bị hạn chế |
"Thành viên" mục: Nhóm Cục bộ trên máy tính thành viên |
GPO cấp vị trí chính sách nhóm giới hạn được xác định |
Kết quả |
|---|---|---|---|
|
Quản trị tên miền (tên miền sẵn) |
Quản trị viên (cục bộ sẵn) |
Tên miền cấp |
Vì thế GPO được xử lý, quản trị viên miền chỉ sẽ được thêm vào nhóm quản trị chia khu vực của tôi. |
|
Quản trị tên miền (tên miền sẵn) |
Tôi quản trị chia vùng (cục bộ tuỳ chỉnh) |
ĐƠN VỊ TỔ CHỨC |
Vì thế GPO được xử lý, quản trị viên miền chỉ sẽ được thêm vào nhóm quản trị chia khu vực của tôi. |
Bộ điều khiển miền
Trong phiên bản trước của Windows, nếu điều khiển vùng xử lý chính sách nhóm giới hạn mà thành viên phần còn lại trống, tất cả các thành viên được dọn dẹp khỏi nhóm khi chính sách được áp dụng, bất kể cài đặt cho các thành viên của. Ví dụ: nếu bạn tạo chính sách nhóm bị giới hạn ở cấp độ miền dành cho quản trị viên miền phần thành viên trống nếu bạn trong cục bộ quản trị viên, khi áp dụng chính sách, tất cả các thành viên của nhóm quản trị viên miền được loại bỏ (bao gồm tài khoản quản trị viên cài sẵn), và một nhóm quản trị viên miền trống được thêm vào nhóm quản trị viên cục bộ.
Hành vi trong Windows XP với gói dịch vụ 2 (SP2) và Windows Server 2003, Windows 2000 SP4 đã được khắc phục. Trên máy tính đang chạy một trong các phiên bản của Windows, nếu bạn áp dụng chính sách nhóm giới hạn xác định các thành viên của nhưng lại thành viên trống, phần thành viên sẽ bị bỏ qua và nhóm thành viên không được làm trống.
Nếu bạn định sử dụng chức năng giới hạn nhóm được kích hoạt bởi bản cập nhật này để cấu hình bộ điều khiển miền, máy chủ thành viên hoặc trạm làm việc, đảm bảo rằng họ đang tất cả chạy Windows 2000 SP4, Windows XP SP2 hoặc Windows Server 2003 để miền nhóm thành viên không được thay đổi vô tình.
Tài khoản của máy chủ và máy trạm làm việc, hiện tượng trong trường hợp này vẫn không thay đổi.
Áp dụng "Thành viên" và "Thành viên của" giới hạn nhóm chính sách Nhóm Cục bộ
Đó là tốt nhất để xác định chính sách nhóm giới hạn thêm nhóm miền cho một nhóm cục bộ và xác định một chính sách Nhóm hạn chế giới hạn thành viên của nhóm cục bộ. Đấu tư cách thành viên của nhóm cục bộ không thể dự đoán vì bộ xử lý chính sách Nhóm hạn chế hai không được xác định. Ví dụ, như minh họa trong bảng sau, nếu bạn tạo một chính sách giới hạn nhóm quản trị viên miền thêm vào nhóm quản trị viên cục bộ và nếu bạn tạo một chính sách Nhóm hạn chế giới hạn thành viên của nhóm quản trị viên cục bộ cho tài khoản quản trị viên cài sẵn, bạn không thể dự đoán hoặc chính sách sẽ được áp dụng. Nếu quản trị viên miền được thêm vào nhóm quản trị viên cục bộ trước khi quản trị viên đã hạn chế, quản trị viên miền sẽ được thêm vào nhóm quản trị viên cục bộ và sau đó xoá. Tuy nhiên, nếu các thành viên nhóm quản trị viên cục bộ có giới hạn trước khi quản trị viên miền được thêm vào nhóm quản trị viên, quản trị viên miền sẽ vẫn còn trong nhóm quản trị viên cục bộ.
Bảng 3: Thêm một nhóm miền cho một nhóm cục bộ với tư cách thành viên bị hạn chế
|
Nhóm mà bạn xác định chính sách Nhóm hạn chế nhất |
Cụm từ "Thành viên" |
Cụm từ "Thành viên" |
Kết quả nhóm thành viên |
|---|---|---|---|
|
Quản trị tên miền (tên miền sẵn) |
Không có |
Quản trị viên (địa phương sẵn) |
Bạn không thể dự đoán các thành viên nhóm cuối cùng của nhóm quản trị viên cục bộ. |
|
Quản trị viên (cục bộ sẵn) |
Quản trị viên (địa phương sẵn) |
Không có |
Bạn không thể dự đoán đấu tư cách thành viên của nhóm quản trị viên cục bộ. |
Để có được các thành viên bạn muốn sử dụng các thành viên hoặc thành viên của nhóm hạn chế chính sách riêng. Trong ví dụ trong bảng 3, để quản trị viên nhóm thành viên mà bạn muốn thêm quản trị miền mục thành viên cho quản trị viên nhóm giới hạn chính sách Nhóm Cục bộ.
Windows 2000
Thông tin gói dịch vụ
Để khắc phục sự cố này, tải xuống gói dịch vụ mới nhất cho Microsoft Windows 2000. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
260910 cách lấy gói dịch vụ mới nhất của Windows 2000
Thông tin về cập nhật nóng
Hỗ trợ tính năng sửa đổi hành vi mặc định của sản phẩm có sẵn từ Microsoft. Tuy nhiên, tính năng này được dùng để sửa đổi chỉ hiện tượng mà bài viết này mô tả. Chỉ áp dụng tính năng này cho hệ thống đặc biệt cần.
Nếu tính năng này sẵn có để tải xuống, có phần "Tải xuống Hotfix sẵn có" ở đầu bài viết cơ sở kiến thức này. Nếu phần này không xuất hiện, liên hệ với dịch vụ khách hàng của Microsoft và hỗ trợ có tính năng.
Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ áp dụng cho các câu hỏi hỗ trợ bổ sung và các vấn đề không phù hợp với tính năng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy ghé thăm Web site sau của Microsoft:
http://support.microsoft.com/contactus/?ws=supportLưu ý Mẫu "Tải xuống Hotfix sẵn có" Hiển thị các ngôn ngữ mà tính năng này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do tính năng không khả dụng cho ngôn ngữ đó. Tiếng Anh các phiên bản của hotfix này có các thuộc tính tệp (hoặc thuộc tính tệp mới hơn) được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Quốc tế Phối hợp (UTC). Khi bạn xem thông tin về tệp, ngày và giờ được chuyển đổi thành giờ địa phương. Để tìm sự khác nhau giữa UTC và giờ địa phương, sử dụng tab múi giờ trong công cụ ngày và giờ trong Pa-nen điều khiển.
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit Để biết thêm thông tin về cách tải hotfix cho Windows 2000 Datacenter Server, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
Sản phẩm 265173 Trung tâm dữ liệu chương trình và Windows 2000 Datacenter Server
Để biết thêm thông tin về cách cài đặt nhiều bản cập nhật Windows hoặc bản sửa lỗi trong khi khởi động lại một lần, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
296861 làm thế nào để cài đặt nhiều Windows Cập Nhật hoặc hotfix chỉ khởi động lại
