วิธีการเปลี่ยนแปลงสิทธิ์เริ่มต้นของ Gpo ใน Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 และ Windows 2000 Server

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 321476 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

คุณอาจต้องการเพื่อช่วยเพิ่มความปลอดภัยในวัตถุนโยบายกลุ่ม (Gpo) ในการป้องกันทั้งหมดแต่กลุ่มที่เชื่อถือได้ของผู้ดูแลจากการเปลี่ยนแปลงนโยบายกลุ่ม คุณสามารถทำได้ โดยการปรับเปลี่ยนแอตทริบิวต์DefaultSecurityDescriptorบนวัตถุ'นโยบายกลุ่ม'คอนเทนเนอร์classScema มีผลอย่างไรก็ตาม การเปลี่ยนแปลงเฉพาะกับ Gpo ที่สร้างขึ้นใหม่ สำหรับ Gpo ที่มีอยู่ คุณสามารถปรับเปลี่ยนสิทธิ์โดยตรงบนคอนเทนเนอร์ของนโยบายกลุ่ม (CN = {GPO_GUID }, CN =ระบบ DC =โดเมน...) และแม่แบบของนโยบายกลุ่ม (\\domain\SYSVOL\Policies\{GPO_GUID) } ได้ ขั้นตอนนี้ยังสามารถช่วยป้องกันไม่ให้แม่แบบการดูแล (แฟ้ม ADM) ในแม่แบบของนโยบายกลุ่มจากการถูกปรับปรุงโดยใช้แฟ้ม ADM บนเวิร์กสเตชันที่ไม่มีการจัดการโดยไม่ตั้งใจ

ข้อมูลเพิ่มเติม

เมื่อสร้างวัตถุไดเรกทอรีที่ใช้งานอยู่ใหม่ สิทธิ์ที่ระบุไว้ในแอตทริบิวต์DefaultSecurityDescriptorของของวัตถุ classSchemaใน schema ถูกนำไปใช้ได้ เนื่องจากการนี้ เมื่อสร้าง GPO วัตถุของgroupPolicyContainerรับของ ACL จากแอตทริบิวต์ของDefaultSecurityDescriptorในการCN =กลุ่มนโยบายคอนเทนเนอร์ CN = Schema, CN =ตั้งค่าคอนฟิก DC = forestroot...วัตถุ ตัวแก้ไขนโยบายกลุ่มยังใช้สิทธิ์เหล่านี้ไปยังโฟลเดอร์ โฟลเดอร์ย่อย และแฟ้มที่อยู่ในแม่แบบของนโยบายกลุ่ม (SYSVOL\Policies\ {GPO_GUID })

คุณสามารถใช้ขั้นตอนต่อไปนี้ในการปรับเปลี่ยนแอตทริบิวต์DefaultSecurityDescriptorสำหรับวัตถุclassSchemaคอนเทนเนอร์ของนโยบายกลุ่ม โปรดสังเกตว่า เนื่องจากเป็นการเปลี่ยนแปลง schema เริ่มการจำลองแบบเต็มสำหรับ GCs ทั้งหมดข้ามฟอเรสต์ สิทธิ์ของ schema ถูกเขียนขึ้น โดยใช้การรักษาความปลอดภัยตัวอธิบายคำจำกัดความภาษา (SDDL) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ SDDL แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
เมื่อต้องการปรับเปลี่ยนแอตทริบิวต์DefaultSecurityDescriptorสำหรับวัตถุclassSchemaคอนเทนเนอร์ของนโยบายกลุ่ม:
  1. เข้าสู่ระบบตัวควบคุมโดเมนหลัก schema ของฟอเรสต์กับบัญชีผู้ใช้ที่เป็นสมาชิกของกลุ่มผู้ดูแลระบบ Schema
  2. เริ่ม Mmc.exe และเพิ่มสแนปอินแบบแผน
  3. คลิกขวาSchema ของไดเรกทอรีที่ใช้งานอยู่และจากนั้น คลิกต้นแบบของการดำเนินงาน
  4. คลิก Schema อาจถูกปรับเปลี่ยนบนตัวควบคุมโดเมนนี้แล้ว คลิกตกลง
  5. แก้ไข ADSI ใช้เพื่อเปิดบริบทการตั้งชื่อแบบแผน และจากนั้น ระบุตำแหน่งที่ตั้งCN =กลุ่มนโยบายคอนเทนเนอร์วัตถุที่ มีชนิดเป็นclassSchema
  6. ดูคุณสมบัติของออปเจ็กต์ และจากนั้น ค้นหาแอตทริบิวต์defaultSecurityDescriptor
  7. วางสายอักขระต่อไปนี้เป็นค่าลบเขียนสิทธิ์สำหรับผู้ดูแลโดเมนเพื่อให้เฉพาะผู้ดูแลเว็บไซต์องค์กรจะต้องมีสิทธิ์ในการเขียน:
    D:P(A;CIRPLCLOLORC;;; DA) (ACIRPWPCCDCLCLOLORCWOWDSDDTSW;;;ของ EA) (ACIRPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CIRPWPCCDCLCLORCWOWDSDDTSW;;;SY) (ACIRPLCLORC;;;AU) (OACICR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)
    เพื่อให้มีสิทธิ์ในการเขียนกลุ่มเพิ่มเติม ผนวกข้อความต่อไปนี้ไปยังจุดสิ้นสุดของข้อความก่อนหน้า:
    (ACIRPWPCCDCLCLOLORCWOWDSDDTSW;;;Group_SID)
    หมายเหตุว่า Group_SID SID ของกลุ่มที่คุณได้ให้สิทธิ์ได้

    หมายเหตุ สำหรับ Windows Server 2003 วางข้อความให้ปฏิบัติตามในแอตทริบิวต์defaultSecurityDescriptor :
    D:P(A;CIRPLCLOLORC;;; DA) (ACIRPWPCCDCLCLOLORCWOWDSDDTSW;;;ของ EA) (ACIRPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)(A;CIRPWPCCDCLCLORCWOWDSDDTSW;;;SY) (ACIRPLCLORC;;;AU) (OACICR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU) (ACILCRPLORC;;;ED)


    หมายเหตุ การเปลี่ยนแอตทริบิวต์defaultSecurityDescriptorไม่สามารถปรับเปลี่ยนตัวแสดงรายละเอียดการรักษาความปลอดภัยสำหรับ Gpo ใด ๆ ที่มีอยู่ก่อน คุณอาจ ใช้สายอักขระทั้งหมดข้างต้นได้อย่างไรก็ตาม แทน ACL ใน Gpo เตรียมพร้อม ด้วยเครื่องมือเช่น sdutil.exe
  8. วางสายอักขระใหม่เข้าไปในตัว คุณลักษณะแก้ไข กล่อง คลิกตั้งค่าคลิกนำไปใช้นั้นแล้ว คลิกตกลง
หมายเหตุถ้าคุณกำลังพยายามที่จำกัดการเข้าถึงโดเมนผู้ดูแลระบบหรือผู้ดูแลระบบขององค์กร คุณต้องทำการปฏิเสธสิทธิ์ Schema ที่เริ่มต้นสำหรับวัตถุ Grouppolicycontainer ใน กลุ่มเหล่านี้จะเพิ่มการ addional ACL การวัตถุนโยบายกลุ่มจึง สำหรับผู้ดูแลโดเมน คุณต้องเพิ่ม Domain Admins และสำหรับเว็บไซต์องค์กร ผู้ดูแลเพิ่มผู้ดูแล การเพิ่มการปฏิเสธเป็นวิธีเดียวที่จะ restirict กลุ่มเหล่านี้

ฝ่ายสนับสนุนทางเทคนิคสำหรับ Microsoft Windows รุ่นที่ใช้ x64

ผู้ผลิตฮาร์ดแวร์ของคุณให้การสนับสนุนทางเทคนิคและความช่วยเหลือสำหรับ Windows รุ่นที่ใช้ x64 ผู้ผลิตฮาร์ดแวร์ของคุณให้บริการสนับสนุนเนื่องจาก Windows รุ่นแบบ x64 ได้รับมาพร้อมกับฮาร์ดแวร์ของคุณ ผู้ผลิตฮาร์ดแวร์ของคุณอาจปรับแต่งการติดตั้งของ Windows ด้วยองค์ประกอบเฉพาะ คอมโพเนนต์เฉพาะอาจรวมถึงโปรแกรมควบคุมอุปกรณ์เฉพาะ หรืออาจรวมถึงการตั้งค่าเพิ่มเติมเพื่อเพิ่มประสิทธิภาพของฮาร์ดแวร์ Microsoft จะให้ความช่วยเหลือทางแก้ไขที่เหมาะสมถ้าคุณต้องการความช่วยเหลือทางเทคนิคกับ x 64 โดยใช้ Windows รุ่นของคุณ อย่างไรก็ตาม คุณอาจต้องติดต่อผู้ผลิตของคุณโดยตรง ผู้ผลิตของคุณมากที่สุดได้รับการมีคุณสมบัติการสนับสนุนซอฟต์แวร์ที่ติดตั้งไว้บนฮาร์ดแวร์

สำหรับข้อมูลผลิตภัณฑ์ที่เกี่ยวกับ Microsoft Windows XP Professional x64 Edition แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
สำหรับข้อมูลผลิตภัณฑ์เกี่ยวกับ Microsoft Windows Server 2003 รุ่นที่ใช้ x64 แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

คุณสมบัติ

หมายเลขบทความ (Article ID): 321476 - รีวิวครั้งสุดท้าย: 25 พฤษภาคม 2555 - Revision: 1.0
ใช้กับ
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Keywords: 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:321476

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com