Como alterar as permissões padrão nos GPOs no Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 e Windows 2000 Server

Traduções de Artigos Traduções de Artigos
Artigo: 321476 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Você poderá aumentar a segurança em objetos de diretiva de grupo (GPOs) para impedir que todos, mas um grupo de administradores alterem a diretiva de grupo confiável. Você pode fazer isso modificando o atributo DefaultSecurityDescriptor no objeto de classScema do recipiente de diretiva de grupo. No entanto, a alteração afeta apenas os GPOs criados recentemente. Para GPOs existentes, você pode modificar permissões diretamente no recipiente de diretiva de grupo (CN = {GPO_GUID}, CN = System, DC = domain...) e o modelo de diretiva de grupo (\\domain\SYSVOL\Policies\{GPO_GUID)}. Este procedimento pode também ajudar a impedir que modelos administrativos (arquivos ADM) nos modelos de diretiva de grupo inadvertidamente sendo atualizada por arquivos ADM em estações de trabalho não gerenciados.

Mais Informação

Quando é criado um novo objeto do Active Directory, as permissões que são especificadas no atributo DefaultSecurityDescriptor do seu objeto classSchema no esquema são aplicadas a ele. Dessa forma, quando um GPO é criado, seu objeto groupPolicyContainer recebe sua ACL do atributo DefaultSecurityDescriptor no CN = grupo-Diretiva-Container, CN = Schema, CN = Configuration, DC = forestroot... objeto. O editor de diretiva de grupo também se aplica a essas permissões para a pasta, subpastas e arquivos de modelo de diretiva de grupo (SYSVOL\Policies\ {GPO_GUID}).

Você pode usar o seguinte processo para modificar o atributo DefaultSecurityDescriptor do objeto classSchema do recipiente de diretiva de grupo. Observe que como esta é uma alteração de esquema, ele inicia uma replicação completa para todos os GCs em toda a floresta. Permissões de esquema são escritas usando a definição de linguagem SDDL (Security Descriptor). Para obter mais informações sobre SDDL, visite o seguinte site da Microsoft:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Para modificar o atributo DefaultSecurityDescriptor do objeto classSchema do recipiente de diretiva de grupo:
  1. Faça logon no controlador de domínio mestre de esquema do floresta com uma conta que seja membro do grupo Administradores de esquema.
  2. Iniciar MMC. exe e adicione o snap-in de esquema.
  3. Esquema do Active Directorycom o botão direito e clique em mestre de operações.
  4. Clique em O esquema pode ser modificado neste controlador de domínioe clique em OK.
  5. Use o Editor ADSI para abrir o contexto de nomeação de esquema e, em seguida, localize o CN = recipiente de diretiva de grupo objeto com tipo classSchema .
  6. Exibir as propriedades do objeto e localize o atributo defaultSecurityDescriptor .
  7. Colar a seguinte seqüência de caracteres em valor para remover gravação permissões para administradores de domínio para que apenas administradores de empresa deve ter permissões de gravação:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Para dar um permissões de gravação de grupo adicionais, acrescente o seguinte texto ao final do texto anterior:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Observe que Group_SID é o SID do grupo ao qual você está concedendo permissões.

    Observação Para Windows Server 2003, cole a seqüência de caracteres a seguir no atributo defaultSecurityDescriptor :
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI;LCRPLORC;;ED)


    Observação Alterar o atributodefaultSecurityDescriptor não modifica os descritores de segurança para qualquer GPO pré-existente. Entretanto, você pode usar a seqüência completa acima para substituir a ACL em GPOs pré-existentes em conjunto com uma ferramenta como sdutil.exe.
  8. Colar a nova seqüência para o Editar atributo caixa, clique em Definir, clique em Aplicare clique em OK.
ObservaçãoSe você estiver tentando restringir o acesso a administradores de domínio ou administradores de empresa coloque um negar as permissões de esquema padrão do objeto Grouppolicycontainer. Esses grupos adicionará uma ACL addional o objeto de diretiva de grupo quando ele é criado. Administradores de domínio, você deve adicionar Admins. do domínio e para a empresa administradores adicionar administrador. Adicionar um negar é a única forma de restirict esses grupos.

Suporte técnico para versões baseadas em x64 do Microsoft Windows

O fabricante do hardware fornece suporte técnico e assistência para versões baseadas em x64 do Windows. O fabricante do hardware fornece suporte porque uma versão baseada em x64 do Windows foi incluída com seu hardware. O fabricante do hardware pode ter personalizado a instalação do Windows com componentes exclusivos. Componentes exclusivos podem incluir drivers de dispositivo específico ou podem incluir configurações opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se você precisar de ajuda técnica com sua versão do Windows baseada em 64. No entanto, talvez você precise contatar diretamente o fabricante. O fabricante está melhor qualificado para suportar o software que o fabricante do seu instalado no hardware.

Para obter informações sobre o Microsoft Windows XP Professional x64 Edition, visite o seguinte site da Microsoft:
http://www.microsoft.com/WindowsXP/64bit/default.mspx
Para obter informações sobre versões baseadas em x64 do Microsoft Windows Server 2003, visite o seguinte site da Microsoft:
http://www.microsoft.com/brasil/windowsserver2003/64bit/x64/Editions.mspx

Propriedades

Artigo: 321476 - Última revisão: 25 de maio de 2012 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Palavras-chave: 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 321476

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com