網域本機群組不應篩選 [群組原則

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:309172
本文已封存。本文係以「現狀」提供且不會再更新。
結論
當使用者登入不同的網域的工作站時,不會套用群組原則] 物件做為篩選依據網域本機群組。
其他相關資訊
在 Microsoft Windows NT 4.0 和混合模式網域,本機群組是只有效當您登入主控本機群組的電腦。 在網域控制站 (DC) 定義的本機群組會被複寫到該網域中的所有 DC,因此有效登入所有 DC 時。

當您登入網域時,驗證的 DC 傳回登入的語彙基元 (Token) 包含通用群組安全性識別碼 (SID) 使用者是一個成員,並在網域控制站上的本機群組被特別排除。本機電腦的本機安全性授權 (LSA) 然後會檢查登入語彙基元中的每個 SID,並將任何相關的本機群組的 SID。

在原生模式 Windows 2000 延伸功能的 DC 定義的本機群組中的網域本機群組的成員資格會指出會傳回由該網域的登入語彙基元中,提供使用者登入在相同網域中的某台電腦。如果使用者登入在另一個網域中的某台電腦,網域本機群組的 SID 不會包含的。

有鑑於此,在原生模式網域本機群組可用來保護同一個網域中的資源。當使用者登入到另一個網域中的工作站,並嘗試存取他 / 她主網域,NT LAN 管理員 (NTLM) 中的資源或 Kerberos 驗證機制可確保適當的網域本機群組一次包含在存取檢查有相關的資源。

不過,這不會延伸到群組原則為用戶端引擎會透過 Active Directory 搜尋系統] 內容中取得一份適用的群組原則物件 (GPO) 然後存取會檢查每一個 GPO 的 [存取控制清單 (ACL)] 對使用者的權杖。如果使用者未登入他或她自己網域,語彙基元,將不能包含網域本機群組成員資格,且任何由網域本機群組的群組原則的篩選將會無法如預期般運作。

因此,如果預期使用者登入樹系中其他網域中電腦,GPO 應不篩選由網域本機群組。

警告:本文為自動翻譯

內容

文章識別碼:309172 - 最後檢閱時間:10/24/2013 07:51:20 - 修訂: 3.2

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Datacenter Server

  • kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtzh
意見反應