Jak změnit výchozí oprávnění objektů v systému Windows 2000 a Windows Server 2003

Překlady článku Překlady článku
ID článku: 321476 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Chcete posílit zabezpečení na objekty Zásady skupiny (GPO) zabránit všechny ale důvěryhodné skupiny Správci z změna zásady skupiny. Můžete to provést úpravou atributu DefaultSecurityDescriptor na objekt kontejneru classScema Zásady skupiny. Změna však ovlivní pouze nově vytvořené objekty. Pro existující objekty můžete upravit oprávnění na kontejner Zásady skupiny (CN = {GPO_GUID}, CN = System, DC = doména...) a šablony Zásady skupiny (\\domain\SYSVOL\Policies\{GPO_GUID)}. Tento postup lze také zabránit šablon pro správu (soubory ADM) v šablonách Zásady skupiny z neúmyslně aktualizované soubory ADM na pracovní stanice nespravovaná.

Další informace

Při vytvoření nového objektu Active Directory oprávnění, které jsou zadány v DefaultSecurityDescriptor atribut ve schématu jeho Objekt classSchema jsou použity jej. Z tohoto důvodu při vytvoření objektu GPO jeho objekt groupPolicyContainer přijímá jeho ACL z atributu DefaultSecurityDescriptor v CN = skupiny zásad Container, CN = Schema, CN = Configuration, DC = forestroot... objektu. Tato oprávnění editor Zásady skupiny platí také pro složku, podsložky a soubory v šabloně Zásady skupiny (SYSVOL\Policies\ {GPO_GUID}).

Pomocí následujícího procesu můžete změnit atribut DefaultSecurityDescriptor objekt classSchema kontejner Zásady skupiny. Poznámka, protože to je změna schématu, ji spustí úplnou replikaci pro všechny globálních celé doménové struktuře. Oprávnění schématu jsou zapisovány pomocí jazyka SDDL (Security Descriptor Definition Language). Další informace o SDDL naleznete na následujícím webu:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Upravit atribut DefaultSecurityDescriptor objekt classSchema kontejner Zásady skupiny:
  1. Přihlásit se k řadiči domény hlavního serveru schématu doménové struktury s účtem, který je členem skupiny Schema Administrators.
  2. Spusťte MMC.exe a přidat modul snap-in Schéma.
  3. Schéma Active Directory klepněte pravým tlačítkem myši a klepněte na příkaz operace.
  4. Klepněte schéma může být změněno na tomto řadiči domény a potom klepněte na tlačítko OK.
  5. Pomocí editoru ADSI otevřete kontextu pojmenování schématu a vyhledejte CN = skupiny zásad kontejner objekt s typem classSchema.
  6. Zobrazení vlastností objektu a najít atribut defaultSecurityDescriptor.
  7. Vložit následující řetězec do hodnoty odebrat oprávnění k zápisu pro správci domény tak, aby pouze správci rozlehlé sítě by mít oprávnění k zápisu:
    D:P(A;CI;RPLCLOLORC;;;DA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)(A;CI;RPLCLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)
    Přidělit oprávnění Zápis další skupinu připojit na konec předchozího textu následující text:
    (A; CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; Group_SID)
    Poznámka: Group_SID je SID skupiny, které udělujete oprávnění.

    Poznámka: Windows Server 2003 vložte řetězec postupujte v atributu defaultSecurityDescriptor:
    D:P(A;CI;RPLCLOLORC;;;DA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)(A;CI;RPLCLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)


    Poznámka: Změna atribut defaultSecurityDescriptor nemění popisovače zabezpečení pro všechny dříve existující objekty. Nahradit ACL v stávajícím GPO ve spojení s nástroj jako sdutil.exe, může však použít výše dokončení řetězec.
  8. Vložte nový řetězec do pole Upravit atribut, klepněte na tlačítko nastavit, klepněte na tlačítko použít a potom klepněte na tlačítko OK.
Poznámka:Pokud se pokoušíte omezit přístup ke Správci domény nebo správci rozlehlé sítě musíte umístit Odepřít schéma výchozí oprávnění pro objekt Grouppolicycontainer. Tyto skupiny bude přidat addional ACL objekt zásad skupiny, pokud je vytvořen. Správci domény musíte přidat Domain Admins a správci pro organizace přidat správce. Přidání Odepřít je jediným způsobem restirict těchto skupin.

Technická podpora pro 64bitové verze systému Microsoft Windows

Technickou podporu a pomoc pro verze x64 systému Windows poskytuje výrobce hardwaru. Výrobce hardwaru poskytuje podporu proto, že verze x64 systému Windows byla součástí dodaného hardwaru. Výrobce hardwaru mohl upravit instalaci systému Windows pomocí jedinečných součástí. Mohl například zahrnout specifické ovladače zařízení a volitelná nastavení, aby maximalizoval výkon vlastního hardwaru. Společnost Microsoft bude vyvíjet přiměřené úsilí v případě, že potřebujete technickou pomoc ke své verzi x64 systému Windows. Pravděpodobně byste se však měli obrátit přímo na výrobce hardwaru. Výrobce je tím nejkvalifikovanějším pro poskytnutí podpory k softwaru, který instaloval do hardwaru.

Informace o systému Microsoft Windows XP Professional x64 Edition získáte na následujícím webu společnosti Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Další informace o verzích x64 systému Microsoft Windows Server 2003 naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Vlastnosti

ID článku: 321476 - Poslední aktualizace: 11. října 2007 - Revize: 5.6
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbmt kbenv kbgrppolicyinfo kbhowto KB321476 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:321476

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com