使用者定義的本機群組的受限群組 (「 成員 」) 行為的更新

適用於: Microsoft Windows Server 2003 Service Pack 2Windows Server 2008 StandardWindows Server 2008 Enterprise

摘要


在版本的 Microsoft Windows Microsoft Windows 2000 Service Pack 4 (SP4) 以前,受限群組隸屬的安全性設定,群組原則中不能將網域群組加入至成員電腦上的本機群組。受限群組行為已在 Microsoft Windows 2000 SP4、 Windows Server 2003 和較新的版本更新。Microsoft Windows XP Service Pack 1 (SP1) 需要 hotfix 以更新的受限群組行為時,Windows Vista 新版和舊版有此更新內建。本文說明的功能所做的變更。

更多的資訊


提供 「 受限群組的成員」 功能,您現在可以新增網域群組至本機群組。如需有關 「 受限群組 」 功能,包括成員隸屬的說明,請參閱 Windows Server 產品文件中的 [受限群組 」。

Windows XP

服務套件資訊

若要解決這個問題,請取得 Windows xp 最新的 Service Pack。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
如何取得最新的 Windows XP service pack 的322389

Hotfix 資訊

支援的 hotfix 可從 Microsoft 取得。不過,此 Hotfix 僅用於修正本文中所述的問題。此 Hotfix 只適用於發生此特定問題的系統上。此 hotfix 可能會接受其他測試。因此,如果此問題的影響不會很嚴重,我們建議您等候含此 hotfix 的下一版軟體更新。

如果 hotfix 可供下載,在此知識庫文件頂端將出現「可用的 Hotfix」區段。如果這個區段沒有出現,請連絡 Microsoft 客戶服務及支援以取得 hotfix。

注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如 Microsoft 客戶服務及支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站︰注意「 下載 Hotfix 」 表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。這項功能的的英文版具有檔案屬性 (或較新的檔案屬性) 下表中所列。這些檔案的日期和時間會以國際標準時間 (UTC) 格式列出。當您檢視檔案資訊時,會將它轉換為本地時間。若要想知道 UTC 及當地時間的時差,使用 [控制台] 中的 [日期和時間] 工具中的 [時區] 索引標籤。

Date Time Version Size File name Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386

將網域群組新增到本機群組

您已經確認是在所有適當的電腦上安裝的功能之後,您可以使用 [受限群組的成員] 設定,將網域群組新增到本機群組 (內建或自訂)。您可以在多個的群組原則物件 (Gpo) 連結到任何站台、 任何網域中或任何組織單位 (OU),來定義不同的群組成員的原則,所有的原則才會生效。例如下, 表所示,您可以建立一個原則,將網域系統管理員 」 新增到本機的系統管理員群組,而您可以新增一個原則,將我的管理系統管理員 」 群組加入至本機管理員群組。此群組會連結到網域等級 GPO。您也可以建立一個原則,將我組織單位地區的 Admins 群組加入至本機管理員群組。此群組會連結到 OU 層級 GPO 中。所有的原則會強制執行。

表 1]: 將網域群組新增到本機群組
您定義的受限群組原則的網域群組「 成員的 」 項目︰ 成員電腦上的本機群組其中定義受限群組] 原則的 GPO 層級結果
網域系統管理員 」 (內建的網域)系統管理員 (本機內建)網域層級系統管理員群組會包含網域系統管理員 」、 「 我的管理系統管理員和 「 我組織的單位系統管理員
我管理的系統管理員 (自訂的網域)系統管理員 (本機內建)網域層級系統管理員群組會包含網域系統管理員 」、 「 我的管理系統管理員和 「 我組織的單位系統管理員
我組織單位區域系統管理員 (區域 OU 自訂)系統管理員 (本機內建)OU 層級系統管理員群組會包含網域系統管理員 」、 「 我的管理系統管理員和 「 我組織的單位系統管理員

跨 Gpo 時,將相同的網域群組新增到本機群組

如果您建立多個 Gpo 中的多個相同的群組的受限群組原則,只有一個原則會生效。跨 Gpo 不合併同群組的受限的群組原則。有效的原則是由群組原則處理的順序所決定的。如需有關群組原則階層和處理順序的資訊,請造訪下列 Microsoft 開發人員網路的網站︰例如下, 表所示,兩個受限群組原則被定義網域系統管理員 」 中。其中一個在網域層級定義,並將網域系統管理員 」 加入至本機管理員群組。其他在 OU 層級定義,而且將網域系統管理員 」 群組加入至我的地區部門系統管理員。網域系統管理員 」 只將新增到 [我的地區部門系統管理員中,但會 (根據預設,連結於 OU 層級覆寫那些網域層級所定義的 Gpo)。

表 2]: 跨 Gpo 將相同的網域群組新增到本機群組
您定義受限群組] 原則的網域群組「 成員的 」 項目︰ 成員電腦上的本機群組其中定義受限群組] 原則的 GPO 層級結果
網域系統管理員 」 (內建的網域)系統管理員 (本機內建)網域層級因為 Gpo 的處理方式,網域系統管理員 」 才會加入我地區的部門系統管理員 」 群組。
網域系統管理員 」 (內建的網域)我地區的部門系統管理員 (本機自訂)OU因為 Gpo 的處理方式,網域系統管理員 」 才會加入我地區的部門系統管理員 」 群組。

網域控制站

在舊版的 Windows 中,如果網域控制站處理受限群組] 原則的 [成員] 區段留空白,所有成員均會被都清除從群組套用原則時,不論成員設定為何。例如,如果您建立 [受限群組] 原則在網域層級網域系統管理員 」 與空白的 「成員」 區段,而且已套用原則時中的成員,, 包含本機系統管理員,網域系統管理員 」 群組的所有成員就會都移除 (包括內建的系統管理員帳戶),而空白的網域系統管理員 」 群組新增到本機系統管理員群組。

已修正在 Windows 2000 SP4、 Service Pack 2 (SP2),與 Windows Server 2003 的 Windows XP 的行為。在電腦上執行其中一個版本的 Windows,如果您套用 [受限群組] 原則所定義的成員,但讓成員保持空白,[成員] 區段會被忽略,而群組成員資格不清空。

如果您打算使用 「 受限群組 」 功能已啟用這項更新,要設定網域控制站、 成員伺服器或工作站,請確定使用者在所有執行 Windows 2000 SP4]、 [Windows XP SP2 或 [Windows Server 2003 使網域群組成員資格不會不小心修改。

成員伺服器和工作站,在這個案例中的行為都維持不變的。

將 「 成員 」 和 「 成員的 「 受限群組原則套用到本機群組

最好是來定義將網域群組新增到本機群組的受限群組] 原則,以及定義會限制該本機群組成員資格的另一個 [受限群組] 原則。無法預測該本機群組的最後的群組成員資格,因為未定義的兩個受限群組原則處理順序。例如中, 所示下表中,是否您建立將網域系統管理員 」 新增到本機系統管理員群組的受限群組] 原則,並且如果您建立 [受限群組] 原則的限制內建的系統管理員帳戶的本機系統管理員群組的成員資格,您無法預測是否將強制執行任一原則。如果之前的系統管理員成員資格限制本機系統管理員群組新增網域系統管理員 」,將本機系統管理員群組新增網域系統管理員 」,然後移除。不過,如果本機系統管理員群組成員資格是有限的網域系統管理員 」 新增到系統管理員群組之前,網域系統管理員 」 的動作就會保留在本機系統管理員群組。

表 3]: 使用受限制的成員資格將網域群組新增到本機群組
您定義的受限群組原則的群組「 成員 」 的項目「 成員的 」 項目
產生的群組成員資格
網域系統管理員 」 (內建的網域)系統管理員 (本機內建)您無法預測本機系統管理員群組的最後一個群組成員資格。
系統管理員 (本機內建)系統管理員 (本機內建)您無法預測本機系統管理員群組的最後一個群組成員資格。
若要取得您想要的成員資格,為成員成員的受限群組原則獨立使用。在 [表 3 中的範例若要取得系統管理員想要的群組成員資格,將網域系統管理員 」 加入至本機系統管理員群組的受限群組原則的成員項目上。

Windows 2000

服務套件資訊

若要解決這個問題,請取得最新的 service pack,Microsoft Windows 2000。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
如何取得最新的 Windows 2000 service pack 的260910

Hotfix 資訊

修改產品預設行為的支援的功能是可以從 Microsoft 取得的。不過,這項功能被要修改的這篇文章說明的行為。這項功能只適用於特別需要的系統。

如果功能已開放下載,便會出現 「 下載 Hotfix 」 區段,在此知識庫文件的頂端。如果這個區段不會出現,請連絡 Microsoft 客戶服務及支援 」 以取得 」 功能。

注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用,如果有其他支援問題是,不能限定此特定功能。如 Microsoft 客戶服務及支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站︰注意「 下載 Hotfix 」 表單會顯示此功能已開放的語言。如果看不到您的語言,它是因為此功能未提供該語言的支援。檔案屬性 (或較新的檔案屬性),此 hotfix 的英文的版本具有下表中所列。這些檔案的日期和時間會以國際標準時間 (UTC) 格式列出。當您檢視檔案資訊時,會將它轉換為本地時間。若要想知道 UTC 及當地時間的時差,使用 [控制台] 中的 [日期和時間] 工具中的 [時區] 索引標籤。

Date Time Version Size File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit
如需有關如何取得 Windows 2000 Datacenter Server 的 hotfix 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
265173資料中心程式和 Windows 2000 Datacenter Server 產品

如需有關如何一次重新啟動時安裝多個 Windows 更新或 hotfix 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
296861如何安裝多個 Windows 更新或 hotfix 與只有一個重新開機