如何將安全性設定還原成已知的工作狀態?

文章翻譯 文章翻譯
文章編號: 313222 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

在作業系統安裝期間,可能發生設定變更,導致作業系統或應用程式無法正確執行。可能因過度限制安全性設定導致的徵狀包括但不限於:



· 作業系統、服務或應用程式啟動失敗

· 驗證或授權失敗

· 存取本端或遠端電腦上的資源失敗


可能變更安全性設定的操作包括但不限於:



· 作業系統升級、QFE Service Pack 和應用程式安裝

· 群組原則變更

· 使用者權限指派

· 安全性範本

· 對 Active Directory、登錄和其他資料庫的安全性設定所作的修改

· 對 AD、檔案系統、Windows 登錄中物件的權限所做的修改



請注意,安全性設定可在本機、遠端電腦、本機和遠端電腦間的互通性不符上定義。



若先前正常執行的安裝突然失敗,自然疑難排解步驟將返回上次作業系統、服務或應用程式正常執行時的執行設定,或在極端情況下,將作業系統還原為出廠設定。


本文說明復原或將變更復原為下列項目所支援及不支援的方法:

· 登錄、檔案系統和服務中的權限。

· 使用者權限指派

· 安全性原則

· 群組成員資格



匯入預設的安全性範本的限制:

此文章先前的版本說明可使用「secedit /configure」命令的方法,同時警告您程序並不會還原所有您安裝 Windows 時所套用的安全性設定,且可能導致未預期的結果。



Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 電腦不支援使用「secedit /configure」來匯入預設安全性範本 (dfltbase.inf),這也並非還原預設安全性權限的可行方式。

從 Windows Vista 開始,在安裝作業系統時套用安全性的方法已經改變。具體而言,由 deftbase.inf 中定義的設定所構成、由作業系統安裝程序和伺服器角色安裝套用的設定所增強的安全性設定。由於沒有程序可支援再次執行作業系統安裝所產生的權限,使用「secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose」命令列將無法再重設所有安全性預設設定,且可能導致作業系統不穩定。

針對 Microsoft Windows 2000、Windows XP 或 Windows Server 2003 電腦,「secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose」命令仍可在少部分情況下使用,如需要使用 secsetup.inf 範本還原安全性設定時。由於匯入 Secsetup.inf 或任何其他範本僅會重設在範本中定義的內容,且不會還原外部設定,此方法可能仍無法還原所有作業系統預設設定,包括可能導致相容性問題的預設設定。



仍支援使用「secedit/configure」來匯入自訂範本。





下列為將 Windows 系統還原為先前工作狀態的支援方法清單 (大略按照優先順序排序)。



1. 使用系統狀態還原: (適用於所有 Windows 用戶端/伺服器)

若您擁有在意外發生之前為特定 Windows 系統建立的系統狀態備份,請使用該備份來將安全性設定還原為工作狀態。您可能需要重新套用任何在系統狀態後進行的系統應用程式變更,以成功還原。還原應用程式相關資料或任何非作業系統檔案的安全性設定可能沒有幫助。您可能需要包括系統狀態的完整系統備份來將其還原為原始狀態

2. 使用系統還原來還原:(僅適用 Windows 用戶端作業系統)

內建的系統還原功能將在透過支援的安裝程式新增應用程式時,自動定期建立還原點。每個還原點都包含將系統還原至所選系統狀態的必要資訊。此方法可用來將系統還原至特定狀態。如同先前方法所述,這在還原應用程式資料的安全性設定時可能沒有幫助,且仍然需要完整系統備份。

3. 使用預先設定的範本來還原:

針對包含範本的系統,您可以在已為發生問題的電腦建立範本時,使用安全性設定精靈。

4. 僅還原檔案權限:

針對檔案權限,您可以使用內建命令列工具 ICACLS/restore 來還原先前工作狀態中在相同電腦上使用 /save 參數所備份的檔案安全性。您可使用此方法來針對正常運作的相同電腦和發生錯誤的電腦比對結果。



若以上方法皆不適用,或您沒有可用於還原的備份,請依照您的變更控制清單或參考此文章的<疑難排解>一節或透過排除程序,來將變更還原為特定安全性設定。





以下表格將比較先前提及的方法。



摺疊此表格展開此表格
方法支援的作業系統優點缺點所需的預先作業
Windows 備份所有 Windows 伺服器/用戶端可以用來備份資料&還原系統狀態可能需要管理大型資料集。此外,您可能需要在還原備份後重新執行變更。

可以
System Restore所有 Windows 用戶端 –Windows XP、Windows VistaWindows 7可設定為執行自動系統狀態備份並不會還原可能不小心變更的應用程式資料。可以
安全性設定精靈Windows XP、Windows Vista、Windows 7、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2可提供範本來還原/套用安全性 僅套用或檢視所使用範本內所包含的資料可以
ICACLS /RestoreWindows XP、Windows Vista、Windows 7、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2在備份 NTFS 檔案以視需要重複使用時十分實用目前不提供其他位置 (如登錄、服務等) 的儲存權限可以
疑難排解方法Windows XP、Windows Vista、Windows 7、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2在上述工具/備份不可用時十分實用這可能無法讓整部電腦設定恢復為權限變更發生前的原始狀態。此外,復原這些變更可能會影響應用程式或作業系統元件所設定的相依性。

其他相關資訊

您可能需要滿足下列安全性參數以解決權限問題。這些是在安全性範本中定義的參數:

摺疊此表格展開此表格
區域名稱描述
SECURITYPOLICY系統的本機原則和網域原則。這包括了帳戶原則、稽核原則及其他原則。
GROUP_MGMT安全性範本中所指定任何群組的受限制群組設定。
USER_RIGHTS使用者的登入權限和權限的授與。
REGKEYS本機登錄機碼的安全性。
FILESTORE本機檔案存放的安全性。
SERVICES所有已定義服務的安全性。


下列工具可用於疑難排解不同的安全性區域:

1. 安全性原則 (帳戶原則、稽核原則、事件記錄設定和安全性選項):

a) RSOP

b) 安全性設定及分析

c) Gpresult

d) Secedit.exe /export

2. Group_Mgmt

a) RSOP

b) Gpresult

3. User_Rights

a) RSOP

b) 安全性設定及分析

c) Ntrights

4. 登錄機碼

a) RSOP

b) 安全性設定及分析

c) 處理程序監視

d) AccessChk

e) AccessEnum

f) Subinacl

5. Filestore

a) RSOP

b) 安全性設定及分析

c) 處理程序監視

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) Subinacl

i) Cacls

6. 服務

a) RSOP

b) 安全性設定及分析

c) 處理程序監視

d) Sc

e) AccessChk

f) Subinacl



下面是一些有關使用上述每個工具的其他詳細資料。

RSOP (原則結果組)

原則結果組 (RSoP) 為群組原則的附加內容,可使原則實作和疑難排解更為容易。RSoP 是一個查詢引擎,可輪詢現有原則和規劃原則,接著報告這些查詢的結果。它將根據網站、網域、網域控制站,以及組織單位來輪詢。RSoP 會透過 Windows Management Instrumentation (WMI),從共用資訊模型物件管理員 (CIMOM) 資料庫 (也稱為 CIM 相容物件存放庫) 收集此資訊。

什麼是原則結果組?

http://technet.microsoft.com/en-us/library/cc758010(WS.10).aspx (英文)

使用 RSoP

http://technet.microsoft.com/en-us/library/cc782663(WS.10).aspx (英文)

它是一個內建嵌入式管理單元「rsop.msc」,適用於所有支援的作業系統 (Windows XP 或更新版本)。

安全性設定及分析

安全性設定及分析為用來分析並設定本機系統安全性的工具。安全性設定及分析可讓您快速檢閱安全性分析結果,並直接設定本機系統安全性。它也會在目前系統設定旁提供建議,並使用視覺旗標或備註來標明其任何目前設定不符合建議安全性等級的區域。安全性設定及分析也提供解決任何分析顯示之差異的能力。透過使用個人資料庫,您可以匯入使用安全性範本所建立的安全性範本,並套用這些範本至本機電腦。這可立即使用範本內指定的層級來設定系統安全性。

分析系統安全性

http://technet.microsoft.com/en-us/library/cc776590(WS.10).aspx (英文)

安全性設定及分析的最佳做法

http://technet.microsoft.com/zh-tw/library/cc757894(WS.10).aspx (英文) Secedit /ExportSecedit.exe 是一個內建命令列工具,可用來將本機原則或合併原則從 Windows 電腦中匯出。您可將原則從工作狀態中的電腦匯出,然後在電腦發生問題時使用 /configure 參數重新套用範本。

如需語法以及其他資訊,請參閱此處

NTrights.exe 是一個命令列 Resource Kit 工具,可讓您本機或遠端授予或撤銷 Windows 電腦上的使用者權限。

如何使用 NTRights 公用程式來設定登入的使用者權限 (機器翻譯)

http://support.microsoft.com/kb/315276/zh-tw

Ntrights.exe 為 Resource Kit 工具的一部份,您可以在這裡下載。

處理程序監視 為 Sysinternals 公用程式的一部份,可即時監視檔案系統、登錄、程序、執行緒、以及 DLL 活動。它可讓我們篩選結果以及將結果儲存於檔案中以供稍後檢閱。此工具可用來疑難排解檔案和登錄程序的安全性問題。例如:您可以篩選「拒絕」嘗試的「結果」。

如需詳細資訊,請參閱下面的連結:

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx (英文)

從這裡下載或立即透過 Live.Sysinternals.com 執行處理程序監視

AccessCheck 是一個命令列程式,可用來檢查特定使用者/群組擁有的資源存取權限 (如檔案/登錄機碼、全域物件和 Windows 服務)。按一下下面的連結來取得詳細資料:

http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx (英文)

這裡下載

AccessEnum 可讓您完整檢視檔案系統路徑及登錄區安全性設定,在需要時協助您處理安全性漏洞和鎖定權限。

http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx (英文)

這裡下載

Sc.exe 是一個可與服務控制管理員通訊的內建命令列工具。它可以用來顯示服務啟動值的資訊、變更或停用它。在此文章討論範圍內,您可使用「sc sdshow Service_Name」命令來輸出服務權限。在您取得輸出之後,您可使用下列「知識庫」文件來解譯它

服務的判別存取控制清單撰寫者的最佳實務與指導http://support.microsoft.com/kb/914392/zh-tw

此外,您可以執行「sc sdset service_name DACL_in_SDDL_format」命令來修改權限。

您可從下列連結取得關於此內容的詳細資訊:

http://support.microsoft.com/kb/251192/zh-tw

http://technet.microsoft.com/zh-tw/magazine/dd296748(en-us).aspx (英文) Icacls.exeIcacls.exe 是一個內建命令列公用程式,可顯示或修改指定檔案/目錄的判別存取控制清單 (DACL)。「ICACLS path_name /save aclfile」可用來將相關路徑名稱 (檔案/目錄) 的ACL 匯出為文字檔,也可使用「ICACLS path_name /restore aclfile」命令來將其還原至檔案。

您可從下列連結取得關於此內容的詳細資訊:

http://support.microsoft.com/kb/919240/zh-tw

http://technet.microsoft.com/en-us/library/cc753525(WS.10).aspx (英文)

屬性

文章編號: 313222 - 上次校閱: 2013年7月2日 - 版次: 13.0
這篇文章中的資訊適用於:
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional
  • Windows Vista 商用入門版
  • Windows Vista 商用進階版
  • Windows Vista 旗艦版
  • Windows Vista 家用入門版
  • Windows Vista 家用進階版
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Scalable Networking Pack
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
關鍵字:?
kbenv kbhowtomaster KB313222
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com