Gewusst wie: ändern die Standardberechtigungen für Gruppenrichtlinienobjekte in Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 und Windows 2000 Server

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 321476 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Sie können zur Steigerung der Sicherheit auf Gruppenrichtlinienobjekte (GPOs), um zu verhindern, dass alle aber eine vertrauenswürdige Gruppe von Administratoren von Gruppenrichtlinien ändern. Sie können dazu das DefaultSecurityDescriptor -Attribut für das Gruppenrichtlinien-Containerobjekt ClassScema ändern. Diese Änderung betrifft jedoch nur die neu erstellten GPOs. Für vorhandene Gruppenrichtlinienobjekte können Sie Berechtigungen direkt auf Group Policy Container (CN = {GPO_GUID}, CN = System, DC = Domäne...) und Gruppenrichtlinien-Vorlage (\\domain\SYSVOL\Policies\{GPO_GUID)}. Dieses Verfahren kann auch helfen zu verhindern, dass die administrative Vorlagen (ADM-Dateien) in den Gruppenrichtlinien-Vorlagen versehentlich von ADM-Dateien auf nicht verwalteten Arbeitsstationen aktualisiert.

Weitere Informationen

Wenn ein neues Active Directory-Objekt erstellt wird, werden die Berechtigungen, die im seines ClassSchema-Objekt im Schema DefaultSecurityDescriptor -Attribut angegeben werden darauf angewendet. Aus diesem Grund Wenn ein Gruppenrichtlinienobjekt erstellt wird, seine GroupPolicyContainer Objekt erhält seine ACL vom DefaultSecurityDescriptor -Attribut in der CN Gruppe-Policy-Container, CN = Schema, CN = Configuration, DC = = "forestroot"... Objekt. Gruppenrichtlinien-Editor gilt auch diese Berechtigungen für die Ordner, Unterordner und Dateien in der Gruppenrichtlinien-Vorlage (SYSVOL\Policies\ {GPO_GUID}).

Das folgende Verfahren können zum Ändern des Attributs DefaultSecurityDescriptor für Group Policy Container ClassSchema -Objekt. Hinweis: Da es sich um eine Schemaänderung handelt, eine vollständige Replikation für alle globalen Kataloge in der Gesamtstruktur starten. Schema-Berechtigungen werden mithilfe der Security Descriptor Definition Language (SDDL) geschrieben. Weitere Informationen zu SDDL finden Sie auf der folgenden Microsoft-Website:
http://msdn2.Microsoft.com/en-us/library/aa379567.aspx
So ändern Sie das Attribut DefaultSecurityDescriptor für Group Policy Container ClassSchema -Objekt:
  1. Melden Sie sich auf die Gesamtstruktur Schemamaster-Domänencontroller mit einem Konto, das Mitglied der Gruppe Schema-Administratoren ist.
  2. Starten Sie MMC.exe ein, und fügen Sie das Schema-Snap-in.
  3. Maustaste auf Active Directory-Schema, und klicken Sie dann auf Betriebsmaster.
  4. Klicken Sie auf Das Schema kann auf diesem Domänencontroller geändert werden, und klicken Sie dann auf OK.
  5. Mit ADSI-Editor die Schema-Namenskontext öffnen, und suchen die CN = Gruppenrichtliniencontainer- -Objekt mit dem ClassSchema -Typ.
  6. Anzeigen der Eigenschaften des Objekts, und suchen Sie das Attribut DefaultSecurityDescriptor .
  7. Einfügen die folgende Zeichenfolge in der zu entfernende Wert schreiben Berechtigungen für Domänen-Admins, so dass nur Organisationsadministratoren Schreibberechtigungen haben würde:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO-)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Um eine zusätzliche Gruppe Schreibberechtigungen zu gewähren, fügen Sie den folgenden Text bis zum Ende des vorherigen Text:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Die Group_SID)
    Beachten Sie, dass Die Group_SID ist die SID der Gruppe, die Sie Berechtigungen gewähren.

    Hinweis Fügen Sie für Windows Server 2003 die folgende Zeichenfolge in DefaultSecurityDescriptor -Attribut:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO-)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI;LCRPLORC;;ED)


    Hinweis Ändern des AttributsDefaultSecurityDescriptor nicht die Sicherheitsbeschreibungen für alle bereits vorhandenen Gruppenrichtlinienobjekte geändert. Jedoch die oben genannten vollständige Zeichenfolge können Sie um die ACL für bereits vorhandene Gruppenrichtlinienobjekte in Verbindung mit einem Tool wie sdutil.exe zu ersetzen.
  8. Fügen Sie die neue Zeichenfolge in das Attribut bearbeiten Feld, klicken Sie auf festlegen, klicken Sie auf Übernehmen, und klicken Sie dann auf OK.
HinweisWenn Sie versuchen, Zugriff auf Domänen-Admins oder Organisations-Admins in der Standard-Schema-Berechtigungen für das Objekt Grouppolicycontainer Deny eingefügt werden soll. Diese Gruppen hinzufügen eine zusätzliche ACL auf Group Policy Object, wenn es erstellt wird. Für Domain-Administratoren müssen Sie Domänen-Admins und für Enterprise Administrator Administratoren hinzufügen. Hinzufügen von Deny ist die einzige Möglichkeit, die Restirict dieser Gruppen.

Technischer Support für x 64-basierten Versionen von Microsoft Windows

Ihr Hardwarehersteller bietet technischen Support und Unterstützung für x 64-basierten Versionen von Windows. Ihr Hardwarehersteller bietet Support, da eine X 64-basierten Version von Windows mit Ihrer Hardware geliefert wurde. Hardwarehersteller möglicherweise hat die Installation von Windows durch einzelne Komponenten verändert. Eindeutige Komponenten gehören bestimmte Gerätetreiber oder gehören optionale Einstellungen, um die Leistung der Hardware zu maximieren. Wenn Sie technische Hilfe zu Ihrer X 64-basierten Version von Windows benötigen, bietet Microsoft in diesem Fall Unterstützung in angemessenem Rahmen. Allerdings müssen Sie möglicherweise den Hersteller direkt wenden. Der Hersteller ist am besten ihm die Software zu unterstützen, die der Hersteller der Hardware installiert.

Produktinformationen zu Microsoft Windows XP Professional X 64 Edition finden Sie auf der folgenden Microsoft-Website:
http://www.Microsoft.com/germany/Windows/WindowsXP/64bit/default.mspx
Produktinformationen zu x 64-basierten Versionen von Microsoft Windows Server 2003 die folgende Microsoft-Website:
http://www.Microsoft.com/germany/windowsserver2003/Editionen/64bit/default.mspx

Eigenschaften

Artikel-ID: 321476 - Geändert am: Freitag, 25. Mai 2012 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Keywords: 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 321476
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com