Cum se modifică permisiunile implicite pe GPO în Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 și Windows 2000 Server

Traduceri articole Traduceri articole
ID articol: 321476 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

REZUMAT

Poate doriți să consolideze securitatea pe obiectele politică de grup (GPO) pentru a preveni toate dar un grup de încredere de administratorii de schimbarea politică de grup. Puteți face acest lucru prin modificarea atributul DefaultSecurityDescriptor pe container classScema obiect Politică de grup. Cu toate acestea, modificarea afectează doar GPO creată. Pentru GPO existente, aveți posibilitatea să modificați permisiunile direct pe recipient politică de grup (NC = {GPO_GUID}, CN = System, DC = domeniu...) și șablon de politică de grup (\\domain\SYSVOL\Policies\{GPO_GUID}). Această procedură, de asemenea, ajută la prevenirea administrative templates (fi?iere ADM) în șabloanele de politică de grup din neatenție actualizarea de (ADM fișierele pe stațiile de lucru negestionat.

INFORMAȚII SUPLIMENTARE

Atunci când este creat un nou obiect Active Directory, permisiunile care sunt specificate în atributul DefaultSecurityDescriptor de classSchema obiect în schema sunt aplicate la ea. Din acest motiv, atunci când este creat un obiect GPO, obiect groupPolicyContainer primește sale ACL din atributul DefaultSecurityDescriptor în NC = grup-politica-Container, NC = schemă, NC = configurare, DC = forestroot... obiect. Editorul de politică de grup se aplică aceste permisiuni folder, subfoldere și fișiere șablon de politică de grup (SYSVOL\Policies\ {GPO_GUID}).

Utilizați următorul proces pentru a modifica atributul DefaultSecurityDescriptor pentru obiectul classSchema Container de Politică de grup. Rețineți că pentru că aceasta este o schimbare de schemă, se începe un reproducerea completă pentru toate GCs întreaga pădure. Schema permisiunile sunt scrise utilizând limba Definition Descriptor de formate securitate (SDDL). Pentru mai multe informații despre SDDL, vizitați următorul site Web Microsoft:
http://msdn2.Microsoft.com/en-us/library/aa379567.aspx
Pentru a modifica atributul DefaultSecurityDescriptor pentru obiectul classSchema Container de politica de grup:
  1. Faceți conecta la controlerul de domeniu al coordonatorului pădure schemă cu un cont care este membru al grup de Administratori de schemă.
  2. Începe Mmc.exe, și apoi se adaugă de completare snap-in Schema.
  3. Faceți clic dreapta pe schemă Active Directory, și apoi faceți clic pe Operations Master.
  4. Faceți clic pe Schema poate fi modificat pe acest controler de domeniu, apoi faceți clic pe OK.
  5. Utilizați ADSI Editor pentru a deschide contextul schemă de denumire și apoi localizați NC = grup-politica-Container tip de obiect classSchema .
  6. Vizualizați proprietățile obiectului, și apoi găsi atributul defaultSecurityDescriptor .
  7. Lipiți următorul șir într-o valoare pentru a elimina scrie permisiunile pentru administratorii de domeniu, astfel încât numai Intreprindere administratorii ar fi permisiuni de scriere:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;UA) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;UA)
    Să acordați permisiuni de scriere o suplimentare de grup, adăugați următorul text la sfârșitul anteriorul text:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Rețineți că Group_SID este SID al grupului care sunt acordarea permisiunilor.

    Notă Pentru Windows Server 2003, lipiți șirul urmați în atributul defaultSecurityDescriptor :
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;UA) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;UA) (A;CI;LCRPLORC;;ED)


    Notă Schimbarea atributuldefaultSecurityDescriptor nu modifica descriptorii de securitate pentru orice GPO pre-existente. Poate cu toate acestea, utilizați șirul complet mai sus pentru a înlocui ACL-ul pe GPO preexistente în conjuncție cu un instrument, cum ar fi sdutil.exe.
  8. Lipiți șirul nou în Editare atribut caseta, faceți clic pe Set, faceți clic pe aplicareși apoi faceți clic pe OK.
NotăDacă încercați să limiteze acorda acces la administratori de domeniu sau administratori de întreprindere trebuie să plasați o refuză în permisiunile Schema implicită pentru obiectul Grouppolicycontainer. Aceste grupuri va adăuga addional un ACL la obiect Politică de grup, atunci când este creată. Pentru administratorii de domeniu trebuie să adăugați administratori de domeniu și pentru întreprinderi administratorii adăugați Administrator. Adăugarea unui Deny este singura cale de a restirict aceste grupuri.

Suport tehnic pentru x 64-versiunile de Microsoft Windows

Producătorul de hardware furnizează suport tehnic și asistență pentru x 64-versiuni de Windows. Producătorul de hardware furnizează suport pentru că o versiune x 64 de Windows a fost inclus cu hardware-ul. Producătorul hardware-ului ar putea particularizat instalarea cu componente unice de Windows. Componente unice ar putea include driverele de dispozitiv specifice sau ar putea include setări opționale pentru a maximiza performanța hardware-ul. Microsoft va furniza asistență rezonabilă dacă aveți nevoie de ajutor tehnic cu x 64-bază versiunea de Windows. Cu toate acestea, aveți posibilitatea să contactați direct producătorul. Producătorul este cel mai bine calificat pentru a sprijini software-ul care producătorul instalat pe hardware-ul.

Pentru informații de produs despre Microsoft Windows XP Professional x 64 Edition, vizitați următorul site Web Microsoft:
http://www.Microsoft.com/windowsxp/64bit/default.mspx
Pentru informa?ii despre produs despre x 64-versiunile de Microsoft Windows Server 2003, vizitați următorul site Web Microsoft:
http://www.Microsoft.com/windowsserver2003/64bit/x64/Editions.mspx

Proprietă?i

ID articol: 321476 - Ultima examinare: 25 mai 2012 - Revizie: 1.0
SE APLICĂ LA:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Cuvinte cheie: 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtro
Traducere automată
IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât și articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuși, un articol tradus automat nu este întotdeauna perfect. Acesta poate conține greșeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greșeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conținutului sau de utilizarea traducerii necorespunzătoare de către clienții nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 321476

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com