Nasıl yapılır: Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ve Windows 2000 Server GPO'larda varsayılan izinleri değiştirme

Makale çevirileri Makale çevirileri
Makale numarası: 321476 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Grup İlkesi nesneleri (GPO'lar) tümünü engellemek ancak yöneticilerin, Grup İlkesi'ni değiştirerek güvenilir bir Grup Güvenliği güçlendirmek isteyebilirsiniz. Grup İlkesi kapsayıcısı classScema nesne üzerindeki DefaultSecurityDescriptor özniteliğini değiştirerek bunu yapabilirsiniz. Ancak, değişiklik, yalnızca yeni oluşturulan GPO'ları etkiler. Varolan GPO'ları için doğrudan Grup İlkesi kapsayıcısının izinlerini değiştirme (cn = {GPO_GUID} cn = System, dc = domain...) ve Grup İlkesi şablonu (\\domain\SYSVOL\Policies\{GPO_GUID)}. Bu yordamı ayrıca Yönetimsel Şablonlar (adm dosyaları) Grup İlkesi Şablonları yanlışlıkla tarafından yönetilmeyen istasyonlarında adm dosyalarının güncelleştirilmesini engelleyebilir.

Daha fazla bilgi

Yeni bir Active Directory nesnesi oluşturulduğunda için şemada bir classSchema nesnesiDefaultSecurityDescriptor özniteliğinde belirtilen izinler uygulanır. Bir gpo oluşturduğunuzda, bu nedenle, kendi groupPolicyContainer nesnesi, acl DefaultSecurityDescriptor öznitelik aldığında cn Grup İlkesi-kapsayıcı, cn = Schema, cn = Configuration, dc =... forestroot = nesnesi. Grup İlkesi Düzenleyicisi Bu izinler klasöre, alt klasörlere ve dosyalara ({GPO_GUID} SYSVOL\Policies\) Grup İlkesi'nin şablonundaki de geçerlidir.

Grup İlkesi kapsayıcısı classSchema nesnesi için DefaultSecurityDescriptor özniteliğini değiştirmek için aşağıdaki işlemi kullanabilirsiniz. Bu şema değişikliği olduğundan, tam bir çoğaltma için tüm GC'ler orman boyunca başlatır. Şema izinlerini Güvenlik Tanımlayıcısı Tanım Dili (sddl) kullanılarak yazılır. sddl hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Grup İlkesi kapsayıcısı classSchema nesnesi için DefaultSecurityDescriptor özniteliğini değiştirmek için:
  1. Ormanın şema yöneticisi etki alanı denetleyicisi Şema Yöneticileri grubunun bir üyesi olan bir hesapla oturum açın.
  2. MMC.exe başlatın ve sonra şema ek bileşenini ekleyin.
  3. Active Directory Şeması' nı sağ tıklatın ve sonra işlem Yöneticisi'ni tıklatın.
  4. ' I tıklatın Bu etki alanı Denetleyicisi'nde şema değiştirilebilir, sonra da Tamam' ı tıklatın.
  5. Şema adlandırma bağlamı'nı açın ve sonra bulmak için ADSI Düzenleyicisi'ni kullanma cn = Grup İlkesi kapsayıcısı nesne classSchema türüne sahip.
  6. Nesnenin özelliklerini görüntülemek ve defaultSecurityDescriptor özniteliği bulun.
  7. Yapıştır kaldırmak için değeri dizeye aşağıdaki yazma izinleri etki alanı yöneticileri için böylece yalnızca kuruluş yöneticileri yazma izninizin olması:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;cr; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Ek Grup yazma izinleri vermek için aşağıdaki metni önceki metnin sonuna:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Dikkat edin Group_SID izinleri verme grubun SID ' dir.

    Not Windows Server 2003, aşağıdaki dize defaultSecurityDescriptor özniteliği yapıştırın:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;cr; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI;LCRPLORC;;ED)


    NotDefaultSecurityDescriptor özniteliğini değiştirerek varolan tüm GPO'lar için güvenlik tanımlayıcıları değiştirmez. Ancak, sdutil.exe gibi bir araçla birlikte önceden varolan bir GPO acl değiştirmek için yukarıdaki tam dize kullanabilirsiniz.
  8. Yeni bir dizeye yapıştırma öznitelik düzenleme kutusuna Ayarla' yı tıklatın, Uygula' yı tıklatın ve sonra Tamam' ı tıklatın.
NotEtki alanı yöneticileri veya kuruluş yöneticileri için erişimi sınırlamak çalışıyorsanız bir engelle Grouppolicycontainer nesnesi için Default Schema izinleri koymanız gerekir. Oluşturulduğunda bu grupların bir acl addional Grup İlke nesnesine ekleyin. Etki alanı yöneticileri için Domain Admins eklemelisiniz ve kuruluş için yönetici yöneticiler ekleyebilir. Bir verme ekleme yalnızca restirict için bu gruplar yoludur.

X 64 tabanlı sürümleri, Microsoft Windows için teknik destek

Teknik destek ve Yardım için x 64 tabanlı sürümleri, Windows'un donanım üreticiniz sağlar. Donanımınızla birlikte Windows'un x 64 tabanlı bir sürümü için donanım üreticiniz tarafından teknik destek sağlanır. Donanım üreticiniz, Windows yüklemesini benzersiz bileşenlerle özelleştirmiş olabilir. Benzersiz bileşenler donanımın performansını en üst düzeye çıkarmak için isteğe bağlı ayarlar içerebilir ya da belirli aygıt sürücüleri içerebilir. X 64 tabanlı sürümünüz Windows ile teknik yardıma gereksinim duyarsanız, Microsoft makul ölçülerde yardım sağlayacaktır. Ancak, doğrudan üreticinize başvurun olabilir. Bilgisayarınızın üreticisi en iyi üreticinizin donanıma yüklediği yazılımı destekleyecek en nitelikli.

Microsoft Windows xp Professional x 64 Edition ile ilgili ürün bilgileri için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/windowsxp/64bit/default.mspx
İlgili ürün bilgileri için x 64 tabanlı sürümleri, Microsoft Windows Server 2003, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/windowsserver2003/64bit/x64/Editions.mspx

Özellikler

Makale numarası: 321476 - Last Review: 25 Mayıs 2012 Cuma - Gözden geçirme: 1.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Anahtar Kelimeler: 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 321476

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com