Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 및 Windows 2000 Server에서 Gpo에 기본 사용 권한을 변경 하는 방법

기술 자료: 321476 - 이 문서가 적용되는 제품 보기.

기계 번역 고지 사항 보기

기계 번역된 문서와 영문 원본 문서 나란히 보기

모두 확대 | 모두 축소

그룹 정책 개체 (Gpo) 모두를 방지 하기 위해 신뢰할 수 있는 관리자 그룹에 그룹 정책 변경에 대 한 보안을 강화 할 수 있습니다. 그룹 정책 컨테이너 classScema 개체의 DefaultSecurityDescriptor 특성을 수정 하 여 그렇게 할 수 있습니다. 그러나 변경에만 새로 만든 gpo가 적용 됩니다. 기존 Gpo에 대 한 권한 그룹 정책 컨테이너에서 직접 수정 가능 (CN = {GPO_GUID}, CN 시스템, DC = 도메인... =) 및 그룹 정책 템플릿 (\\domain\SYSVOL\Policies\{GPO_GUID)}. 이 절차 또한 관리 템플릿 (ADM 파일)에 그룹 정책 템플릿을 실수로 관리 되지 않는 워크스테이션에서 ADM 파일 업데이트 되 고에서 방지할 수 있습니다.

위로 가기 | 피드백 보내기

추가 정보

Active Directory 개체를 새로 만들면 DefaultSecurityDescriptor 스키마의 classSchema 개체 의 특성에 지정 된 권한은 적용 됩니다. GPO 생성 되 면이 인해 해당 입력 개체가 해당 ACL DefaultSecurityDescriptor 특성에서 받습니다는 CN 그룹 정책-컨테이너 CN = 스키마, CN = 구성, DC = forestroot... = 개체입니다. 그룹 정책 편집기도 폴더, 하위 폴더 및 파일에는 그룹 정책 템플릿 ({GPO_GUID} SYSVOL\Policies\)에 이러한 권한을 적용합니다.

DefaultSecurityDescriptor 그룹 정책 컨테이너의 classSchema 개체에 대 한 특성을 수정 하려면 다음 프로세스를 사용할 수 있습니다. 스키마 변경 이므로 전체 복제는 모든 Gc에 대 한 포리스트 전체에 걸쳐 하 여 시작 됩니다. 스키마 사용 권한 보안 설명자 정의 언어 (SDDL)를 사용 하 여 작성 됩니다. SDDL에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.

http://msdn2.microsoft.com/en-us/library/aa379567.aspx

(http://msdn2.microsoft.com/en-us/library/aa379567.aspx)

그룹 정책 컨테이너의 classSchema 개체의 DefaultSecurityDescriptor 특성을 수정 하려면:

포리스트 스키마 마스터 도메인 컨트롤러는 스키마 관리자 그룹의 구성원 인 계정으로 로그온 합니다.
Mmc.exe를 시작 하 고 스키마 스냅인을 추가 합니다.
Active Directory 스키마를 마우스 오른쪽 단추로 클릭 한 다음 작업 마스터를 클릭 합니다.
클릭 이 도메인 컨트롤러에서 스키마를 수정할 수 있습니다.를 클릭 한 다음 확인을 클릭 합니다.
ADSI 편집기를 사용 하 여 스키마 명명 컨텍스트를 열고 다음을 찾습니다는 CN = 그룹 정책 컨테이너 형식과 classSchema 개체입니다.
개체의 속성을 확인 하 고 defaultSecurityDescriptor 특성을 찾습니다.
쓰기 권한을 도메인 관리자에 대 한 엔터프라이즈 관리자만 쓰기 권한이 수 있도록 붙여넣기 다음 문자열 값을 제거:
D:P(A;CI입니다.RPLCLOLORC; 있습니다.;A) (A;CI입니다.RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI입니다.RPWPCCDCLCLOLORCWOWDSDDTSW;;)(A; COCI입니다.RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI입니다.RPLCLORC;;AU) (OA;CI입니다.CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
추가 그룹 쓰기 권한을 부여 하려면 이전 텍스트의 끝에 다음 텍스트를 추가 합니다.
(A;CI입니다.RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
Note Group_SID 사용 권한을 부여할 그룹의 SID입니다.

참고 Windows Server 2003의 defaultSecurityDescriptor 특성에 따라 문자열을 붙여 넣습니다.
D:P(A;CI입니다.RPLCLOLORC; 있습니다.;A) (A;CI입니다.RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI입니다.RPWPCCDCLCLOLORCWOWDSDDTSW;;)(A; COCI입니다.RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI입니다.RPLCLORC;;AU) (OA;CI입니다.CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI입니다.LCRPLORC;;ED)

참고DefaultSecurityDescriptor 특성 변경 모든 기존 Gpo에 대 한 보안 설명자를 수정 하지 않습니다. 그러나 위의 전체 문자열을 사용 sdutil.exe 같은 도구와 함께에서 기존 Gpo에는 ACL을 바꿀 수 있습니다.
새 문자열에 붙여넣기를 특성 편집 상자 적용클릭 하 고 설정을 클릭 한 다음 확인을 누릅니다.

참고도메인 관리자 또는 엔터프라이즈 관리자에 대 한 액세스를 제한 하려는 경우 입력 개체는 기본 스키마 사용 권한 거부를 배치 해야 합니다. 만들어질 때 이러한 그룹은 그룹 정책 개체에 ACL을 addional를 추가 합니다. 도메인 관리자에 대 한 Domain Admins를 추가 해야 및 엔터프라이즈 관리자 관리자를 추가 합니다. 거부 추가 restirict 하는 유일한 방법은 이러한 그룹입니다.

Microsoft Windows의 x64 기반 버전에 대 한 기술 지원

하드웨어 제조업체는 Windows의 x64 기반 버전에 대 한 기술 지원을 제공합니다. X64 기반 버전의 Windows 하드웨어에 포함 되어 있기 때문에 하드웨어 제조업체에 지원을 제공 합니다. 하드웨어 제조업체 고유 구성 요소로 windows 설치를 사용자 지정 했을 수도 있습니다. 고유 구성 요소를 특정 장치 드라이버 등이 있을 또는 하드웨어의 성능을 최대화 하기 위한 옵션 설정이 포함 될 수 있습니다. X 64 기반 버전의 Windows와 기술적인 도움이 필요 하면 Microsoft 지원 합리적인 제공 합니다. 그러나 해당 제조업체에 직접 문의 해야 합니다. 제조업체 제조업체는 하드웨어에 설치 된 소프트웨어를 지 원하는 데 가장 정규화 된.

Microsoft Windows XP Professional x64 Edition에 대 한 제품 정보는 다음 Microsoft 웹 사이트를 방문 하십시오.

http://www.microsoft.com/windowsxp/64bit/default.mspx

(http://www.microsoft.com/windowsxp/64bit/default.mspx)

제품 정보에 대 한 x 64 기반 버전의 Microsoft Windows Server 2003에서 다음 Microsoft 웹 사이트를 방문 하십시오.

http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

(http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx)

위로 가기 | 피드백 보내기

속성

기술 자료: 321476 - 마지막 검토: 2012년 5월 25일 금요일 - 수정: 1.0

본 문서의 정보는 다음의 제품에 적용됩니다.

Windows Server 2008 Standard
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Foundation
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Windows Server 2008 R2 Standard
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 for Itanium-Based Systems
Windows Server 2008 R2 Foundation

kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtko

기계 번역된 문서

중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

이 문서의 영문 버전 보기:321476

(http://support.microsoft.com/kb/321476/en-us/ )

위로 가기 | 피드백 보내기