DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 309172 - Última revisão: quarta-feira, 21 de fevereiro de 2007 - Revisão: 3.2

 

Sumário

Objetos de diretiva de grupo filtrados por grupos de domínio local não são aplicados quando um usuário fizer logon em uma estação de trabalho em um domínio diferente.

Mais Informações

No Microsoft Windows NT 4.0 e domínios de modo misto, grupos locais só são eficientes quando você efetuar logon no computador que hospeda o grupo local. Grupos locais definidos em um controlador de domínio (DC) são replicados para todos os DCs no domínio e, portanto, são eficientes quando você efetuar logon em todos os controladores de domínio.

Quando fizer logon em um domínio, DC autenticação retorna um token de logon que contém identificadores de segurança de grupo global (SIDs) para o qual o usuário é um membro e grupos locais em controladores de domínio especificamente são excluídos. Autoridade de segurança local (LSA) do computador local, em seguida, verifica cada SID no token de logon e adiciona os SIDs de grupo local relevantes.

No modo nativo, o Windows 2000 estende a funcionalidade de grupos locais definidos nos DCs. participação em grupos locais de domínio será indicada no token de logon é retornado pelo controlador de domínio, desde que o usuário está fazendo logon em um computador no mesmo domínio. Se o usuário está fazendo logon em um computador em outro domínio, SIDs do grupo de domínio local não estão incluídos.

Devido a isso, no modo nativo grupos de domínio local podem ser usados para proteger os recursos no mesmo domínio. Quando um usuário fizer logon em uma estação de trabalho em outro domínio e tenta acessar um recurso em seu domínio base, de NTLM (NT LAN Manager) ou mecanismo de autenticação Kerberos garante que grupos locais do domínio apropriado novamente estão incluídos no acesso verifica o recurso relevante.

No entanto, isso não se estende à diretiva de grupo como o mecanismo do lado do cliente obtém uma lista de objetos de diretiva de grupo aplicável (GPO) por meio de pesquisas do Active Directory no contexto do sistema, e verificações de acesso acesso controle List (ACL de cada GPO) contra o token do usuário. Se o usuário não tiver feito em seu próprio domínio, o token não conterá membros do grupo local de domínio, e qualquer filtragem da diretiva de grupo por grupos de domínio local não funcionará conforme o esperado.

Portanto, se os usuários devem fazer logon em computadores em outros domínios na floresta, GPOs não devem ser filtrados por grupos de domínio local.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbdomain kbinfo kbnetwork KB309172 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 309172  (http://support.microsoft.com/kb/309172/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store