Ako zmeniť predvolené povolenia na GPOs v systéme Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 a Windows 2000 Server

ID článku: 321476 - Zobraziť produkty, ktorých sa tento článok týka.
Strojovo preloženéKliknutím sem zobrazíte vyhlásenie týkajúce sa strojovo preložených článkov databázy KB
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Možno budete chcieť posilniť bezpečnosť objektov politiky skupiny (GPOs) aby sa zabránilo všetkým ale dôveryhodných skupiny správcov menili skupinovej politiky. Môžete tak urobiť úpravou atribút DefaultSecurityDescriptorclassScema objekt skupinovej politiky kontajnera. Avšak, zmena ovplyvňuje len novo vytvorené GPO. Pre existujúce GPOs, môžete upraviť povolenia priamo na kontajner modulu Skupinová politika (CN = {GPO_GUID}, CN = System, DC = doména...) a šablóny modulu Skupinová politika (\\domain\SYSVOL\Policies\{GPO_GUID}). Tento postup tiež môže pomôcť zabrániť šablóny na správu (súbory ADM) v skupinovej politike šablón z neúmyselne aktualizovať súbory ADM na nespravované staniciach.
Späť na začiatok | Odošlite odozvu

DALSIE INFORMACIE

Keď sa vytvorí nový objekt služby Active Directory, povolenia, ktoré sú špecifikované v atribúte DefaultSecurityDescriptor jeho classSchema objektu v schéme sa aplikujú na to. Z tohto dôvodu pri vytvorení objektu GPO jeho groupPolicyContainer objektu dostane jeho ACL od atribút DefaultSecurityDescriptor vo CN = kontajner politiky skupiny-, CN = Schema, CN = Configuration, DC = forestroot... objekt. Editora politiky skupiny platí aj tieto povolenia pre priečinok, podpriečinky a súbory v šablóne skupinovej politiky (SYSVOL\Policies\ {GPO_GUID}).

Nasledujúci postup môžete použiť upraviť atribút DefaultSecurityDescriptor pre kontajner politiky skupiny classSchema objekt. Všimnite si, že pretože je to zmena schémy, začne úplnej replikácii pre všetky GCs v celej doménovej štruktúre. Schéma povolenia sú napísané s použitím jazyka jazyku (Security popisovača definícia SDDL). Ďalšie informácie o jazyku SDDL nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
http://msdn2.Microsoft.com/en-us/library/aa379567.aspx
(http://msdn2.microsoft.com/en-us/library/aa379567.aspx)
Upraviť atribút DefaultSecurityDescriptor pre kontajner politiky skupiny classSchema objekt:
  1. Prihláste sa do lesa schémy majster doménový kontrolér so účet, ktorý je členom skupiny Administrators schémy.
  2. Spustite príkaz Mmc.exe a potom pridajte modul snap-in schémy.
  3. schéma služby Active Directorykliknite pravým tlačidlom myši a potom kliknite na operácie.
  4. Kliknite na tlačidlo Schéma môže byť upravený na tomto radiči domény, a potom kliknite na tlačidlo OK.
  5. Použite nástroj ADSI Editor otvoriť kontext pomenovania schém a potom vyhľadajte CN = kontajner skupinovej politiky objekt typu classSchema .
  6. Zobraziť vlastnosti objektu, a potom vyhľadajte atribút defaultSecurityDescriptor .
  7. Prilepiť nasledovný reťazec do hodnota, ktorú chcete odstrániť zápis pre správcovia domény tak, aby iba lokálni správcovia systému by mali zápis:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA,CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Poskytnúť ďalšiu skupinu zápis append na koniec predchádzajúceho textu nasledujúcim textom:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Upozor?ujeme, ?e Group_SID je identifikátor SID skupiny, na ktoré sú udelenie povolenia.

    Poznámka Pre systém Windows Server 2003, prilepte nasledovať reťazec v atribúte defaultSecurityDescriptor :
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA,CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI;LCRPLORC;;ED)


    Poznámka Zmena atribútdefaultSecurityDescriptor nemení popisovače zabezpečenia pre všetky existujúce objekty skupinovej politiky. Môže však použiť vyššie úplné reťazec nahradiť zoznam prístupových práv na už jestvujúci GPOs v spojitosti s nástrojom, ako sdutil.exe.
  8. Vložiť nový reťazec do upraviť atribút rámček, kliknite na položku nastaviť, kliknite na tlačidlo použiťa potom kliknite na tlačidlo OK.
PoznámkaAk sa pokúšate obmedziť prístup správcovia domény alebo správcom podnikovej predvolené schémy povolenia pre Grouppolicycontainer objekt musíte umiestniť zakázať. Tieto skupiny pridá addional tok ACL objekt skupinovej politiky, pri jeho vytvorení. Pre správcovia domény musíte pridať Domain Admins a podnikových správcov pridať správcu. Pridanie zakázať je jediný spôsob, ako restirict týchto skupín.

Technická podpora pre x 64-bitových verziách systému Microsoft Windows

Výrobca vášho hardvéru poskytuje technickú podporu a pomoc pre x 64-bitových verziách systému Windows. Výrobca vášho hardvéru poskytuje podporu, pretože x 64-bitovej verzie systému Windows bola zahrnutá s hardvérom. Výrobcu hardvéru môže nastaviť inštaláciu systému Windows s jedinečnými súčasťami. Jedinečnými súčasťami by mohli zahŕňať špecifické ovládače alebo by mohli zahŕňať voliteľné nastavenia na dosiahnutie maximálneho výkonu hardvéru. Spoločnosť Microsoft poskytne primeranú pomoc, ak potrebujete technickú pomoc s vašej x 64-bitovou verziou systému Windows. Avšak, budete musieť priamo kontaktujte výrobcu. Výrobca je lepšie kvalifikovaný pre podporu softvéru, ktorý nainštaloval na hardvér.

Produktové informácie o programe Microsoft Windows XP Professional x 64 Edition, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://www.Microsoft.com/windowsxp/64bit/default.mspx
(http://www.microsoft.com/windowsxp/64bit/default.mspx)
Produktové informácie o 64-bitových verziách systému Microsoft Windows Server 2003, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://www.Microsoft.com/windowsserver2003/64bit/x64/Editions.mspx
(http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx)
Späť na začiatok | Odošlite odozvu

Vlastnosti

ID článku: 321476 - Posledná kontrola: 25. mája 2012 - Revízia: 1.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Kľúčové slová: 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 321476
(http://support.microsoft.com/kb/321476/en-us/ )
Späť na začiatok | Odošlite odozvu

Odošlite odozvu

 
Späť na začiatokSpäť na začiatok