您目前已離線,請等候您的網際網路重新連線

使用者定義的本機群組的受限群組 (「 成員 」) 行為的更新

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:810076
結論
在早於 Microsoft 版本的 Microsoft WindowsWindows 2000 Service Pack 4 (SP4),受限群組 隸屬在 [群組原則的安全性設定不能將網域群組新增至網域本機群組成員電腦上。在 Microsoft Windows 2000 SP4、 Windows Server 2003 及較新版本更新的受限群組行為。Microsoft Windows XP Service Pack 1 (SP1) 需要更新的受限群組行為、 Windows Vista 和較新的具有內建此更新程式的重要補充程式。本文說明的功能所做的變更。
其他相關資訊
使用 [受限群組 隸屬 功能,您現在可以加入網域群組至本機群組。針對有關 「 受限群組 」 功能,包括 成員 以及 隸屬 說明,請參閱 Windows Server 中的 [受限群組 」產品文件。

XP Windows

服務套件資訊

若要解決這個問題,請取得最新的 service pack,Windows xp。如需詳細資訊資訊,請按一下下面的文章編號,檢視中的文件Microsoft 知識庫 」:
322389 如何取得最新的 Windows XP service pack

Hotfix 資訊

使用 Microsoft 的支援的 hotfix。然而,其目的只為修正問題這份文件中所述。此 hotfix 只適用於發生此特定問題的系統上。此 hotfix 可能會接受其他測試。因此,如果您不會嚴重受到這個問題,我們建議您等候下一個包含此 hotfix 的軟體更新。

如果此 hotfix 已開放下載,則 「 下載 Hotfix 」 區段中,在此知識庫文件的頂端。如果沒有出現這一節,請連絡 Microsoft 客戶服務及支援 」 取得 hotfix。

附註 如果發生其他問題,或者需要進行疑難排解時,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題,以及此特定 hotfix 無法解決的問題。如需完整清單的 「 Microsoft 客戶服務和支援的電話號碼,或建立個別的服務要求,請造訪下列 Microsoft 網站: 附註 「 下載 Hotfix 」 表單會顯示 hotfix 還是可以使用的語言。如果看不到您的語言,是因為 hotfix 未提供該語言。 這項功能的英文版具有檔案屬性 (或較新的檔案屬性) 下表所示。其日期和時間,這些檔案會列在國際標準時間(UTC)。當您檢視檔案資訊時,它會轉換為本地時間。若要想知道 UTC 及當地時間的差異,請使用 時間區域 在 [控制台] 中的 [日期及時間] 工具中] 索引標籤。
   Date         Time   Version        Size     File name   Platform   ----------------------------------------------------------------   31-Jan-2003  02:53  5.1.2600.1163  849,408  Scesrv.dll  IA64   31-Jan-2003  02:53  5.1.2600.1163  307,712  Scesrv.dll  i386

將網域群組新增到本機群組

之後您確認是所有安裝的功能適當的電腦,您可以使用受限制的群組 隸屬 設定設為 [新增網域群組至本機群組 (內建或自訂)。您可以定義 隸屬 在多個 [群組原則] 物件中不同的群組原則(Gpo) 連結到任何站台、 任何網域或任何組織單位(OU),以及所有的規則才會生效。例如,以圖解中下列表格中,您可以建立將網域系統管理員 」 新增到本機原則系統管理員 」 群組,而且您可以將原則新增能加上我的管理系統管理員本機系統管理員群組的群組。這個群組已連結至網域層級GPO。您也可以建立一個原則,將我組織單位地區本機系統管理員群組的系統管理員 」 群組。這個群組已連結至組織單位層級的 GPO。所有的原則會強制執行。

[表 1: 新增網域群組至本機群組
您定義受限群組] 原則的網域群組針對「 成員 」 的項目: 成員電腦上的本機群組GPO其中定義受限群組] 原則層級結果
網域系統管理員 」 (內建網域)系統管理員 (本機內建)網域層級系統管理員 」 群組包含網域系統管理員 」、 「 我的管理系統管理員和 「 我的組織單位系統管理員
我管理的系統管理員 (自訂的範圍)系統管理員(本機內建)網域層級包含系統管理員群組網域系統管理員 」、 我的管理系統管理員,以及我組織單位的系統管理員
我組織單位區域管理員 (區域 OU自訂)系統管理員 (本機內建)組織單位層級系統管理員 」 群組包含網域系統管理員 」,[我的管理系統管理員 」 和 「 我的組織單位系統管理員

跨 Gpo 時,將相同的網域群組加入至本機群組

如果您對同一個建立多個受限群組原則群組中多個 Gpo,只有其中一項原則會生效。受限的群組在 Gpo 之間不合併同一個群組的原則。是有效的原則決定群組原則處理的順序。如需有關資訊群組原則階層架構和處理順序,請造訪下列 Microsoft開發人員網路的網站:比方說,如下列表格所示,兩個限制定義網域系統管理員 」 群組原則。有定義在網域層級並將網域系統管理員 」 加入本機 Administrators 群組。另一個是在 OU 層級定義,並將網域系統管理員 」 群組加入至 [我的區域除系統管理員。網域系統管理員 」 只會新增到我的區域除法系統管理員 (根據預設,連結在 OU 層級覆寫這些 Gpo,被定義在網域層級)。

表 2]: 跨 Gpo 將相同的網域群組新增到本機群組
您可以為其定義受限群組的網域群組原則「 成員 」 的項目: 成員電腦上的本機群組GPO其中定義受限群組] 原則層級結果
網域系統管理員 」 (內建網域)系統管理員 (本機內建)網域層級有鑑於此,Gpo 的處理方式,網域系統管理員 」 將只能加入至 [我的區域除法 Admins 群組。
網域系統管理員 」 (內建網域)我地區除法系統管理員 (本機自訂)組織單位有鑑於此,Gpo 的處理方式,網域系統管理員 」 將只能加入至 [我的區域除法 Admins 群組。

網域控制站

在舊版的 Windows 中,如果網域控制站處理在其中的 [受限群組] 原則 成員 區段留白、 從群組的所有成員會被都清除時已套用的原則,不論設定的 隸屬.比方說,如果您建立 [受限群組] 原則,在網域系統管理員 」 以一個空白的網域層級 成員 區段,如果您將包含在本機系統管理員 隸屬已套用原則,網域系統管理員 」 中的所有成員群組會被移除 (包括內建的系統管理員帳戶),以及空白的網域系統管理員 」 群組加入至本機管理員群組。

[在 Windows 2000 SP4、 Windows XP 加 Service Pack 2 (SP2) 和視窗行為伺服器 2003年已經獲得修正。在電腦上執行下列之一如果您套用 [受限群組原則來定義的 Windows 版本 隸屬 但會保留 成員 空白的 成員 區段會被忽略,並不是群組成員資格已清空。

如果您打算使用 「 受限群組 」 功能,若要設定網域控制站、 成員伺服器,會啟用此更新程式或請確定使用者在所有執行 Windows 2000 SP4,Windows XP 的工作站,SP2 或讓該網域群組成員資格,Windows Server 2003 就不會修改因為不小心。

成員伺服器及工作站、 裡的行為這種情況下保持不變。

將 「 成員 」 和 「 成員的 「 受限群組原則套用到本機群組

建議您最好定義中新增 [受限群組] 原則網域群組至本機群組,以及定義另一個 [受限群組] 原則會限制該本機群組成員資格。最後的群組成員資格無法預測該本機群組,因為兩者的處理順序受限制的群組原則未定義。例如,以圖解中下表中,如果您要建立新增網域的受限群組] 原則本機系統管理員群組的系統管理員 」 和 「 如果您建立受限群組限制為內建的本機 Administrators 群組的成員資格的原則系統管理員帳戶,您無法預測若不論是哪一項原則會被強迫執行。如果網域系統管理員 」 會加入至本機管理員群組之前系統管理員成員資格有限,網域系統管理員 」 將會加入至本機系統管理員群組,然後移除。不過,如果以本機系統管理員網域系統管理員 」 加入至系統管理員群組成員資格是限制群組中,網域系統管理員 」 會保留在本機系統管理員群組。

表 3: 新增網域群組到本機群組擁有受限制的成員資格
您定義受限群組] 原則的群組針對「 成員 」 的項目「 成員 」 的項目產生的群組成員資格
網域系統管理員 」 (網域內建)系統管理員 (本機內建)您無法預測的本機系統管理員群組的最後一個群組成員資格。
系統管理員 (本機內建)系統管理員 (本機內建)您無法預測的最後一個群組成員資格為本機系統管理員群組中。
若要取得您想要的成員資格,使用任何一種 成員隸屬 以獨佔方式限制群組原則。在範例中,在 [表 3]若要取得系統管理員想要的群組成員資格,新增至網域系統管理員 」[ 成員 本機系統管理員群組受限群組的項目原則。

Windows 2000

服務套件資訊

若要解決這個問題,請取得最新Microsoft Windows 2000 service pack。如需詳細資訊,請按一下下面的文章編號,檢視 「 Microsoft 知識庫 」 中:
260910 如何取得最新的 Windows 2000 service pack

Hotfix 資訊

修改產品預設行為的支援的功能是可以從 Microsoft 取得的。不過,這項功能被限於修改本文所描述的行為。這項功能只適用於特別需要的系統上。

如果此功能已開放下載,但沒有 「 下載 Hotfix 」 區段中,在此知識庫文件的頂端。如果沒有出現這一節,請連絡 「 Microsoft 客戶服務及支援 」 以取得 」 功能。

附註 如果發生其他問題,或者需要進行疑難排解時,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題,以及此特定功能無法解決的問題。如需完整清單的 「 Microsoft 客戶服務和支援的電話號碼,或建立個別的服務要求,請造訪下列 Microsoft 網站: 附註 「 下載 Hotfix 」 表單會顯示此功能已開放的語言。如果看不到您的語言,是因為此功能不適用於該語言。 此 hotfix 的英文版包含的檔案屬性 (或較新的檔案屬性) 下表所示。其日期和時間,這些檔案會列在國際標準時間(UTC)。當您檢視檔案資訊時,它會轉換為本地時間。若要想知道 UTC 及當地時間的差異,請使用 時間區域 在控制項中的 [日期及時間] 工具中] 索引標籤面板。
 Date        Time     Version         Size       File name ------------------------------------------------------------- 07-Nov-2002  22:33   5.0.2195.6109    124,688   Adsldp.dll 07-Nov-2002  22:33   5.0.2195.5781    131,344   Adsldpc.dll 07-Nov-2002  22:33   5.0.2195.6109     62,736   Adsmsext.dll 07-Nov-2002  22:33   5.0.2195.6052    358,160   Advapi32.dll 07-Nov-2002  22:33   5.0.2195.6094     49,936   Browser.dll 07-Nov-2002  22:33   5.0.2195.6012    135,952   Dnsapi.dll 07-Nov-2002  22:33   5.0.2195.6076     96,016   Dnsrslvr.dll 15-Nov-2001  23:27                      5,149   Empty.cat 07-Nov-2002  22:33   5.0.2195.5722     45,328   Eventlog.dll 07-Nov-2002  22:33   5.0.2195.6059    146,704   Kdcsvc.dll 01-Nov-2002  18:52   5.0.2195.6112    204,048   Kerberos.dll 21-Aug-2002  16:27   5.0.2195.6023     71,248   Ksecdd.sys 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll 07-Nov-2002  02:02   5.0.2195.6118     33,552   Lsass.exe 27-Aug-2002  22:53   5.0.2195.6034    108,816   Msv1_0.dll 07-Nov-2002  22:33   5.0.2195.5979    307,472   Netapi32.dll 07-Nov-2002  22:33   5.0.2195.6075    360,720   Netlogon.dll 07-Nov-2002  22:33   5.0.2195.6100    920,848   Ntdsa.dll 07-Nov-2002  22:33   5.0.2195.6100    389,392   Samsrv.dll 07-Nov-2002  22:33   5.0.2195.6120    130,320   Scecli.dll 07-Nov-2002  22:33   5.0.2195.6120    303,888   Scesrv.dll 07-Nov-2002  01:56   5.0.2195.6118    139,264   Sp3res.dll 07-Nov-2002  00:05         5.3.9.0      4,096   Spmsg.dll 07-Nov-2002  00:06         5.3.9.0     87,040   Spuninst.exe 07-Nov-2002  22:33   5.0.2195.5859     48,912   W32time.dll 04-Jun-2002  21:32   5.0.2195.5859     57,104   W32tm.exe 07-Nov-2002  22:33   5.0.2195.6100    126,224   Wldap32.dll 07-Nov-2002  02:02   5.0.2195.6118    507,664   Lsasrv.dll     --   56-bit 
如需有關如何取得為 Windows 2000 Datacenter Server 重要補充程式,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
265173資料中心的程式和 Windows 2000 Datacenter Server 產品
如需有關如何安裝多個視窗更新或重新啟動時的快速補充程式一次,按一下下列文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
296861若要安裝多個 Windows 更新或 hotfix 只能有一個與重新啟動方式

警告:本文為自動翻譯

內容

文章識別碼:810076 - 最後檢閱時間:03/06/2012 08:01:00 - 修訂: 2.0

Microsoft Windows 2000 Service Pack 4, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Microsoft Windows XP Professional, Windows Vista 商用入門版, Windows Vista 商用進階版, Windows Vista 旗艦版, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate

  • kbautohotfix kbHotfixServer kbqfe kbwinxpsp2fix kbsecurity kbwin2ksp4fix kbwin2000presp4fix kbfix kbmt KB810076 KbMtzh
意見反應
lement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">