Cómo cambiar los permisos predeterminados de los GPO en Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 y Windows 2000 Server

Seleccione idioma Seleccione idioma
Id. de artículo: 321476 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Desea reforzar la seguridad de objetos de directiva de grupo (GPO) para evitar que todos, pero un grupo de confianza de los administradores cambien la directiva de grupo. Puede hacerlo modificando el atributo defaultSecurityDescriptor en el objeto de directiva de grupo contenedor classScema . Sin embargo, el cambio sólo afecta a los GPO recién creado. Para los GPO existentes, puede modificar los permisos directamente en el contenedor de directiva de grupo (CN = {GPO_GUID}, CN = System, DC = dominio...) y la plantilla de directiva de grupo (\\domain\SYSVOL\Policies\{GPO_GUID)}. Este procedimiento también puede ayudar a evitar que las plantillas administrativas (archivos ADM) en las plantillas de directiva de grupo se actualice sin darse cuenta de los archivos ADM en estaciones de trabajo no administrados.

Más información

Cuando se crea un nuevo objeto de Active Directory, los permisos que se especifican en el atributo defaultSecurityDescriptor delobjeto classSchema en el esquema se aplican a él. Debido a esto, cuando se crea un GPO, el objeto groupPolicyContainer recibe su LCA de defaultSecurityDescriptor del atributo en el CN = grupo-Directiva-Container, CN = Schema, CN = Configuration, DC = forestroot... objeto. El editor de directivas de grupo también aplica estos permisos a la carpeta, subcarpetas y archivos de plantilla de directiva de grupo (SYSVOL\Policies\ {GPO_GUID}).

Puede utilizar el siguiente proceso para modificar el atributo defaultSecurityDescriptor del objeto de classSchema contenedor de directiva de grupo. Tenga en cuenta que debido a que se trata de un cambio de esquema, se inicia una replicación completa para todos los catálogos globales en todo el bosque. Los permisos de esquema se escriben utilizando el lenguaje de definición de descriptores de seguridad (SDDL). Para obtener más información acerca de SDDL, visite el siguiente sitio Web de Microsoft:
http://msdn2.Microsoft.com/en-us/library/aa379567.aspx
Para modificar el atributo defaultSecurityDescriptor del objeto de classSchema contenedor de directiva de grupo:
  1. Inicie sesión en el controlador de dominio maestro de esquema de bosque con una cuenta que es un miembro del grupo Administradores de esquema.
  2. Inicie Mmc.exe y, a continuación, agregue el complemento Esquema.
  3. Haga clic en Esquema de Active Directoryy, a continuación, haga clic en maestro de operaciones.
  4. Haga clic en Se puede modificar el esquema en este controlador de dominioy, a continuación, haga clic en Aceptar.
  5. Utilice el Editor ADSI para abrir el contexto de nomenclatura de esquema y, a continuación, busque la CN = contenedor de directiva de grupo objeto con el tipo de classSchema .
  6. Ver las propiedades del objeto y, a continuación, busque el atributo defaultSecurityDescriptor del .
  7. Pegar la cadena siguiente en el valor que se va a quitar permisos de escritura para los administradores de dominio para que sólo los administradores de empresa que tenga permisos de escritura:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;)(A; DE COCI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Para dar un permisos de escritura de grupo adicionales, agregue el siguiente texto al final del texto anterior:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Tenga en cuenta que Group_SID es el SID del grupo al que van a conceder permisos.

    Nota Para Windows Server 2003, pegue la cadena de seguimiento en el atributo defaultSecurityDescriptor del :
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;)(A; DE COCI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI;LCRPLORC;;ED)


    Nota Cambiar el atributodefaultSecurityDescriptor del no modifica los descriptores de seguridad de cualquier directiva de grupo ya existente. Sin embargo, puede utilizar la cadena completa para reemplazar la ACL en los GPO existentes junto con una herramienta como sdutil.exe.
  8. Pegar la nueva cadena en el Modificar atributo cuadro, haga clic en establecer, haga clic en Aplicary, a continuación, haga clic en Aceptar.
NotaSi desea restringir el acceso a los administradores de dominio o administradores de organización debe colocar un permiso deny en los permisos de esquema predeterminado del objeto Grouppolicycontainer. Estos grupos agregará una ACL adicional para el objeto de directiva de grupo cuando se crea. Para los administradores de dominio debe agregar administradores de dominio y para la empresa, los administradores agregar administrador. Agregar un permiso Deny es la única manera de restirict estos grupos.

Soporte técnico para x 64 de las versiones de Microsoft Windows

El fabricante del hardware proporciona soporte técnico y asistencia para el caso de las versiones de Windows de 64 x. El fabricante del hardware proporciona soporte técnico como una versión x 64 de Windows se incluyó con su hardware. El fabricante del hardware podría haber personalizado la instalación de Windows con componentes únicos. Componentes exclusivos podrían incluir controladores de dispositivo específicos o configuraciones opcionales para maximizar el rendimiento del hardware. Si necesita ayuda técnica con la versión x 64 de Windows, Microsoft ofrecerá asistencia de un esfuerzo razonable. Sin embargo, tendrá que ponerse en contacto directamente con el fabricante. El fabricante es el mejor cualificado para admitir el software que el fabricante instalado en el hardware.

Para obtener información de producto acerca de Microsoft Windows XP Professional x 64 Edition, visite el siguiente sitio Web de Microsoft:
http://www.Microsoft.com/spain/windowsxp/64bit/default.mspx
Para información del producto acerca de x 64 de las versiones de Microsoft Windows Server 2003, visite el siguiente sitio Web de Microsoft:
http://www.Microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Propiedades

Id. de artículo: 321476 - Última revisión: viernes, 25 de mayo de 2012 - Versión: 1.0
La información de este artículo se refiere a:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Palabras clave: 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 321476

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com