Bagaimana mengubah hak akses default pada GPO pada Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 dan Windows 2000 Server

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 321476 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Anda mungkin ingin untuk memperkuat keamanan pada objek Kebijakan Grup (GPO) untuk mencegah semua tapi sekelompok terpercaya administrator dari mengubah Kebijakan Grup. Anda dapat melakukannya dengan memodifikasi atribut DefaultSecurityDescriptor pada wadah classScema objek Kebijakan Grup. Namun, perubahan hanya mempengaruhi GPO baru dibuat. Untuk GPO yang ada, Anda dapat mengubah hak akses langsung pada wadah Kebijakan Grup (CN = {GPO_GUID}, CN = System, DC = domain...) dan Kebijakan Grup template (\\domain\SYSVOL\Policies\{GPO_GUID}). Prosedur ini juga dapat membantu mencegah administrative templates (ADM file) dalam template Kebijakan Grup dari secara tidak sengaja diperbarui oleh file ADM pada workstation tidak dikelola.

INFORMASI LEBIH LANJUT

Ketika objek Direktori Aktif yang baru dibuat, hak akses yang ditentukan dalam atribut DefaultSecurityDescriptor dari objek classSchema pada schema diterapkan untuk itu. Because of this, ketika GPO dibuat, objek groupPolicyContainer menerima ACL yang dari atribut DefaultSecurityDescriptor di CN = grup-kebijakan-kontainer, CN = skema, CN = konfigurasi, DC = forestroot... objek. Editor Kebijakan Grup juga berlaku ijin tersebut ke folder, subfolder dan file dalam Kebijakan Grup template (SYSVOL\Policies\ {GPO_GUID}).

Anda dapat menggunakan proses berikut untuk memodifikasi atribut DefaultSecurityDescriptor untuk kelompok kebijakan wadah classSchema objek. Catatan karena ini adalah perubahan skema, itu mulai replikasi penuh untuk semua GCs across the forest. Skema izin ditulis dengan menggunakan bahasa definisi pendeskripsi keamanan (SDDL). Untuk informasi lebih lanjut tentang SDDL, kunjungi Web site Microsoft berikut:
http://msdn2.Microsoft.com/en-us/library/aa379567.aspx
Untuk memodifikasi atribut DefaultSecurityDescriptor untuk objek Kebijakan Grup wadah classSchema :
  1. log masuk ke kontroler master domain skema hutan dengan account yang merupakan anggota dari grup Administrator skema.
  2. Mulai Mmc.exe, dan kemudian menambahkan snap-in skema.
  3. Klik kanan-atas Skema direktori aktif, dan kemudian klik master operasi.
  4. Klik Skema dapat dimodifikasi pada pengendali domain ini, lalu klik OK.
  5. Penggunaan ADSI Editor untuk membuka skema penamaan konteks, dan kemudian cari CN = grup-kebijakan-kontainer objek dengan tipe classSchema .
  6. Melihat properti objek, dan kemudian menemukan atribut defaultSecurityDescriptor .
  7. Pasta string berikut ke nilai untuk menghapus Izin tulis untuk administrator domain sehingga hanya enterprise administrator akan mempunyai izin menulis:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Untuk memberikan izin menulis kelompok tambahan, menambahkan teks berikut ke akhir teks sebelumnya:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Perhatikan bahwa Group_SID adalah SID grup yang Anda adalah pemberian izin.

    Catatan Untuk Windows Server 2003, paste mengikuti string dalam atribut defaultSecurityDescriptor :
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI;LCRPLORC;;ED)


    Catatan Mengubah atributdefaultSecurityDescriptor tidak memodifikasi penjelas keamanan untuk setiap GPO yang sudah ada sebelumnya. Anda mungkin, bagaimanapun, menggunakan string lengkap di atas untuk menggantikan ACL pada pra GPO dalam hubungannya dengan alat seperti sdutil.exe.
  8. Sisipkan string baru ke mengedit atribut kotak, klik Atur, klik Apply, dan kemudian klik OK.
CatatanJika Anda mencoba untuk membatasi akses administrator domain atau enterprise administrator Anda harus menempatkan deny dalam izin Default skema untuk Grouppolicycontainer objek. Kelompok-kelompok ini akan menambah addional ACL untuk objek Kebijakan Grup ketika itu dibuat. Untuk administrator domain, Anda harus menambahkan admin Domain dan untuk enterprise administrator menambahkan Administrator. Menambahkan Deny adalah satu-satunya cara untuk restirict kelompok-kelompok ini.

Dukungan teknis bagi versi Microsoft Windows berbasis x

Pembuat peranti penangkap keras Anda menyediakan dukungan teknis dan bantuan untuk versi Windows berbasis x. Pembuat peranti penangkap keras Anda menyediakan dukungan karena versi berbasis x Windows disertakan dengan peranti penangkap keras Anda. Pembuat peranti penangkap keras Anda mungkin telah mengkustomisasi penginstalan Windows dengan komponen unik. Komponen unik meliputi pengandar spesifik peranti penangkap atau pengaturan opsional untuk memaksimalkan kinerja peranti penangkap keras. Microsoft akan berusaha menyediakan usaha bantuan jika Anda membutuhkan bantuan dengan Anda x 64 versi berbasis Windows. Namun, Anda mungkin harus menghubungi pabrik Anda secara langsung. Pabrik Anda terbaik memenuhi syarat untuk mendukung peranti penangkap lunak yang pabrik Anda diinstal pada peranti penangkap keras.

Untuk informasi produk tentang Microsoft Windows XP Professional edisi x 64, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/windowsxp/64bit/default.mspx
Untuk informasi produk tentang versi Microsoft Windows Server 2003 berbasis x, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/windowsserver2003/64bit/x64/default.mspx

Properti

ID Artikel: 321476 - Kajian Terakhir: 25 Mei 2012 - Revisi: 3.0
Berlaku bagi:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Kata kunci: 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini: 321476

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com