概要
在 Microsoft Windows 以前的版本 Microsoft Windows 2000 Service Pack 4 (SP4),在组策略中的受限制的组成员的安全设置不能用于将域组添加到本地组成员的计算机上。受限制组行为已在 Microsoft Windows 2000 SP4,Windows Server 2003 和更高版本中更新。Microsoft Windows XP Service Pack 1 (SP1) 需要修补程序来更新受限制组行为,Windows Vista 并更新了此更新内置。本文介绍了对该功能进行的更改。
详细信息
使用受限制的组的成员的功能,现在可以向本地组中添加域组。受限制的组功能,包括成员和Memberof说明,有关详细信息请参阅 Windows 服务器产品文档中的"受限制的组"。
Windows XP
Service Pack 信息
若要解决此问题,请获取 Windows XP 的最新服务包。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389如何获取最新的 Windows XP 服务包
修补程序信息
可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。
如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。
注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰
http://support.microsoft.com/contactus/?ws=support注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。此功能的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,使用控制面板中的日期和时间工具中的时区选项卡。
Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386
将域组添加到本地组
验证所有相应计算机上安装了此功能后,您可以使用受限制的组的成员设置将域组添加到本地组 (内置或自定义)。可以在多个组策略对象 (Gpo) 链接的任何站点、 任何域或所有组织单位 (OU) 中定义为不同的组成员的策略,所有策略都将生效。例如下, 表中所示,您可以创建一个策略,将域管理员添加到本地管理员组,和您可以添加将我管理管理员组添加到本地管理员组策略。此组链接到域级别 GPO。您还可以创建一个策略,将我的组织单元区域管理员组添加到本地管理员组。此组链接到一个 OU 级别 GPO。强制所有策略。
表 1︰ 将域组添加到本地组
|
您定义的受限制的组策略的域组 |
"成员"项︰ 在成员计算机上的本地组 |
在其中定义的受限制的组策略的 GPO 级别 |
结果 |
|---|---|---|---|
|
域管理员 (内置域) |
管理员 (本地内置) |
域级别 |
管理员组包含域管理员,我管理管理员和我组织单位的管理员 |
|
我管理管理员 (域自定义) |
管理员 (本地内置) |
域级别 |
管理员组包含域管理员,我管理管理员和我组织单位的管理员 |
|
我组织单元区域管理员 (区域 OU 自定义) |
管理员 (本地内置) |
OU 级别 |
管理员组包含域管理员,我管理管理员和我组织单位的管理员 |
在 Gpo 向本地组中添加相同的域组
如果您在多个 Gpo 中创建同一组的多个受限制的组策略,只能有一个策略将生效。在 Gpo 不合并同一组受限制的组策略。组策略处理的顺序取决于有效的策略。有关组策略层次结构和处理顺序的信息,请访问下面的 Microsoft 开发人员网络 Web 站点︰
http://msdn2.microsoft.com/en-us/library/aa374155.aspx例如下, 表中所示,两个受限制的组策略为域管理员定义。一在域级别定义并将域管理员添加到本地管理员组。另一个在 OU 级别上定义,将域管理员组添加到我的区域部门管理员。域管理员将只添加到我的区域部门管理员 (默认情况下,Gpo 链接的 OU 级别重写在域级别中定义)。
表 2︰ 通过 Gpo 向本地组添加同一域组
|
为其定义的受限制的组策略的域组 |
"成员"项︰ 在成员计算机上的本地组 |
在其中定义受限制的组策略的 GPO 级别 |
结果 |
|---|---|---|---|
|
域管理员 (内置域) |
管理员 (本地内置) |
域级别 |
由于 Gpo 的处理方式,域管理员将只能添加到我的区域部门管理员组。 |
|
域管理员 (内置域) |
我区域除管理员 (本地自定义) |
OU |
由于 Gpo 的处理方式,域管理员将只能添加到我的区域部门管理员组。 |
域控制器
在早期版本的 Windows 中,如果域控制器处理的受限制的组策略的成员部分为空,所有成员被都清除从组应用策略时,无论的设置的成员。例如,如果您创建受限制的组策略在域级别为域管理员具有空成员截面和时应用该策略中的成员,包括本地管理员,域管理员组的所有成员 (包括内置的管理员帐户),都删除和空的域管理员组添加到本地管理员组。
在 Windows 2000 SP4,Service Pack 2 (SP2),Windows Server 2003 和 Windows XP 中的行为已得到纠正。在计算机上运行一个这些版本的 Windows 中,如果应用受限制的组策略定义的成员,但将保留为空白的成员、成员部分将被忽略,和组成员身份将不会被清空。
如果您计划使用此更新启用配置域控制器、 成员服务器或工作站的受限制的组功能,请确保它们正在所有运行 Windows 2000 SP4,Windows XP SP2 中或 Windows Server 2003,以便不会无意中修改域的组成员身份。
成员服务器和工作站,在这种情况下的行为保持不变。
将"成员"和"成员"受限制的组策略应用于本地组
最好是定义将域组添加到本地组的受限制的组策略并定义另一个受限制的组策略,将限制该本地组的成员身份。无法预测该本地组的最终的组成员身份,因为未定义两个受限制的组策略的处理顺序。例如,在下表中所示,是否您创建一个受限制的组策略,将域管理员添加到本地管理员组,如果您创建一个受限制的组策略限制成员资格的内置管理员帐户为本地管理员组,您无法预测任一策略将被强制执行。如果域管理员添加到本地管理员组有限的管理员成员身份之前,域管理员将被添加到本地管理员组,然后删除。但是,如果本地的管理员组成员身份限制域管理员添加到管理员组之前,域管理员将保留在本地管理员组。
表 3︰ 具有限制成员资格将域组添加到本地组
|
您定义的受限制的组策略的组 |
"成员"项 |
"成员"项 |
结果组成员资格 |
|---|---|---|---|
|
域管理员 (内置域) |
无 |
管理员 (本地内置) |
您无法预测本地管理员组的最终组成员身份。 |
|
管理员 (本地内置) |
管理员 (本地内置) |
无 |
您无法预测本地管理员组的最终组成员身份。 |
若要获取所需的成员资格,请使用成员或成员的受限制的组策略以独占方式。在表 3 中的示例来获取管理员组所需的成员资格,条目中添加域管理员成员为本地管理员组受限制的组策略。
Windows 2000
Service Pack 信息
若要解决此问题,请获取最新的 Microsoft Windows 2000 服务包。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 2000 service pack
修补程序信息
Microsoft 提供了用于修改产品默认行为的支持的功能。但是,此功能用于修改本文介绍的行为。应用此功能只用于修改本文所述的行为。
如果功能是可供下载,则此知识库文章顶部"提供修补程序下载"部分。如果这一节没有出现,请与 Microsoft 客户服务和支持,以获得该功能。
注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。通常的支持费用将应用于其他支持问题和事项,不计入此特定功能。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰
http://support.microsoft.com/contactus/?ws=support注意:"提供修补程序下载"窗体显示的功能情况可用的语言。如果看不到您的语言,则该功能不可用这种语言的版本。此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,使用控制面板中的日期和时间工具中的时区选项卡。
Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit 有关如何获取修补程序的 Windows 2000 的数据中心服务器的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰
265173数据中心程序和 Windows 2000 的数据中心服务器产品
有关如何进行一次重新启动时安装多个 Windows 更新程序或修复程序的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰
296861如何在只重新启动一安装多个 Windows 更新程序或修复程序
