Як змінити на об'єкти групової політики у Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 та Windows 2000 Server, дозволів за промовчанням

Переклади статей Переклади статей
Номер статті: 321476 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ПІДСУМКИ

Ви можете для зміцнення безпеки на об'єкти групової політики (GPO) для запобігання все але надійних групи адміністраторів змінювати групову політику. Ви можете зробити це шляхом зміни на classScema об'єкта групової політики контейнер, атрибуту DefaultSecurityDescriptor . Однак, зміна впливає лише новостворений об'єкти групової політики. Існуючі об'єкти групової політики, ви можете змінювати дозволи безпосередньо на контейнер групової політики (CN = {GPO_GUID}, CN = системи, округ Колумбія = домен...) і шаблону групової політики (\\domain\SYSVOL\Policies\{GPO_GUID)}. Ця процедура також може допомогти запобігти Адміністративні шаблони (ADM-файлів) у шаблонів групової політики ненавмисно оновлення на файли ADM некерованим робочих станцій.

ДОДАТКОВІ ВІДОМОСТІ

Коли створюється новий об'єкт служба Active Directory, дозволи, які вказані у свою classSchema об'єкт схеми, атрибуту DefaultSecurityDescriptor застосовуються до нього. З-за цього, коли створюється об'єкт групової політики, її groupPolicyContainer об'єкт отримує її ACL з в, атрибуту DefaultSecurityDescriptor на CN = група-політики-контейнер, CN = схеми, CN = конфігурації, DC = forestroot... об'єкт. Редактор групової політики також застосовує ці дозволи до папки, вкладених папок і файлів шаблону групової політики (SYSVOL\Policies\ {GPO_GUID}).

Наступним процесом можна змінювати для об'єкта групової політики контейнер classSchema , атрибуту DefaultSecurityDescriptor . Зверніть увагу, що тому, що це зміни схеми, вона починається повної реплікації для всіх ГКС через ліс. Схему дозвіл написаних за допомогою безпеки дескриптор визначення мови (SDDL). Щоб отримати додаткові відомості про SDDL відвідайте веб-сайт корпорації Майкрософт:
http://msdn2.Microsoft.com/EN-US/Library/aa379567.aspx
Щоб змінити для об'єкта групової політики контейнер classSchema , атрибуту DefaultSecurityDescriptor :
  1. Увійдіть на контролер майстер домену лісу схеми з обліковим записом, який є членом групи адміністраторів схеми.
  2. Почати MMC а потім додати оснастка схеми.
  3. Клацніть правою кнопкою миші служба Active Directory схемута натисніть кнопку господаря операцій.
  4. Натисніть кнопку Схема може бути змінено на цьому контролері доменуі натисніть кнопку ОК.
  5. сценарій виконання редактора ADSI відкрити контексту іменування схеми, а потім знайдіть у CN = групової політики контейнер об'єкт типу classSchema .
  6. Переглянути властивості об'єкта а потім знайти атрибут defaultSecurityDescriptor .
  7. Вставити такий рядок на значення яке необхідно видалити права на запис А для адміністраторів домену, щоб лише адміністратори підприємства будуть мати дозвіл на запис:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;КО)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;СІ) (A;CI;RPLCLORC;;АС) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Щоб дати права на запис А на додаткові групи, додати наступний текст в кінець попереднього тексту:
    (А;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Зверніть увагу, що Group_SID є SID група, до якої є надання дозволів.

    Примітка Для Windows Server 2003 вставити рядок слідувати в атрибуті defaultSecurityDescriptor :
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;КО)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;СІ) (A;CI;RPLCLORC;;АС) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;АС) (A;CI;LCRPLORC;;ЕД)


    Примітка Зміна атрибутаdefaultSecurityDescriptor не змінити дескриптори безпеки для будь-якого вже існуючі об'єкти групової політики. Однак, використовується рядок вище повний замінити ACL на вже існуючі об'єкти групової політики, у поєднанні з інструментом, такі, як sdutil.exe.
  8. Вставити новий рядок у на редагування атрибута поле, натисніть кнопку встановити, натисніть кнопку застосуватита натисніть кнопку ОК.
ПриміткаЯкщо потрібно дозволити доступ лише адміністратори домену або адміністратори підприємства, помістіть на відмовити у схеми за промовчанням дозволи для Grouppolicycontainer об'єкт. Ці групи буде додати в addional ACL об'єкт групової політики, коли її створили. Для адміністраторів домену потрібно додати адміністратори домену і для корпоративних адміністраторів Додайте адміністратора. запит на додавання відмовити є єдиним способом restirict цих груп.

Технічна підтримка для версій Microsoft Windows x64

Виробник обладнання надає технічну підтримку та консультації для версій Windows на базі x64 процесорів. Виробник обладнання надає підтримку, оскільки на x версії Windows разом з устаткуванням. Виробник обладнання може долучити інсталяцію Windows унікальні компоненти. До таких компонентів можуть належати особливі драйвери пристроїв або додаткові настройки для підвищення продуктивності устаткування. корпорація Майкрософт надаватиме доцільною, якщо вам потрібно технічну допомогу з вашого x версії Windows. Однак, можливо, доведеться звернутися до виробника безпосередньо. Виробник Найширші можливості в наданні підтримки для програмного забезпечення, який інсталював його на обладнання.

Продукт інформація про Microsoft Windows XP Professional x64 Edition відвідайте веб-сайт корпорації Майкрософт:
http://www.Microsoft.com/WindowsXP/64bit/default.mspx
Продукт інформація про х 64 версіях Microsoft Windows Server 2003 відвідайте веб-сайт корпорації Майкрософт:
http://www.Microsoft.com/windowsserver2003/64bit/x64/Editions.mspx

Властивості

Номер статті: 321476 - Востаннє переглянуто: 25 травня 2012 р. - Редакція: 1.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Ключові слова: 
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 321476

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com