如何更改 Windows Server 2008 R2、 Windows Server 2008、 Windows Server 2003 和 Windows 2000 Server 中的 Gpo 的默认权限

文章编号: 321476 - 查看本文应用于的产品
机器翻译查看机器翻译免责声明
展开全部 | 关闭全部

本页

概要

您可能希望增强安全性,组策略对象 (Gpo),以防止所有但受信任的管理员更改组策略的组。可以修改DefaultSecurityDescriptor属性中的组策略容器classScema对象上执行此操作。但是,更改只影响新创建的 Gpo。现有 gpo,您可以修改直接在组策略容器上的权限 (CN = {GPO_GUID},CN = 系统,DC = 域...) 和组策略模板 (\\domain\SYSVOL\Policies\{GPO_GUID})。此过程还有助于避免管理模板 (ADM 文件) 中的组策略模板从非托管的工作站上的 ADM 文件会无意中被更新。
回到顶端 | 提供反馈

更多信息

创建一个新的 Active Directory 对象时,它在架构中的classSchema 对象DefaultSecurityDescriptor属性中指定的权限应用到它。为此,创建一个 GPO 时,其groupPolicyContainer对象将接收到其 ACL 中的DefaultSecurityDescriptor属性从CN = 组的策略的容器,CN = 架构、 CN = 配置,DC = forestroot...对象。组策略编辑器中还对这些权限的文件夹、 子文件夹和文件在组策略模板 (SYSVOL\Policies\ {GPO_GUID}) 中。

您可以使用以下过程修改组策略容器的classSchema对象的DefaultSecurityDescriptor属性。请注意由于这是架构更改,启动完全复制所有 Gc 的跨目录林。通过使用安全描述符定义语言 (SDDL) 写入架构权限。SDDL 有关的详细信息,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
(http://msdn2.microsoft.com/en-us/library/aa379567.aspx)
要修改的组策略容器classSchema对象的DefaultSecurityDescriptor属性:
  1. 林架构主机的域控制器是架构管理员组的成员的帐户登录。
  2. 启动 Mmc.exe,然后添加架构管理中。
  3. Active Directory 架构中,用鼠标右键单击,然后单击操作主机。
  4. 单击 架构可以在此域控制器上更改然后单击确定
  5. 使用 ADSI 编辑器打开架构命名上下文,然后定位到CN = 组策略容器classSchema类型的对象。
  6. 查看对象的属性,请查找defaultSecurityDescriptor属性。
  7. 粘贴到要删除的值下面的字符串写入域管理员权限,以便只有企业管理员有写权限:
    D:P(A;CI。RPLCLOLORC;;A) (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;EA) (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;CO)(A;CI。RPWPCCDCLCLORCWOWDSDDTSW ; ; ;SY) (A ;CI。RPLCLORC ; ; ;AU) (OA ;CI。CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939 ; ;AU)
    若要为其他组的写权限,将上一个文本的结尾的文本:
    (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;Group_SID)
    请注意, Group_SID 为您要向其授予权限的组的 SID。

    注意对于 Windows Server 2003 中,将defaultSecurityDescriptor属性中粘贴以下字符串:
    D:P(A;CI。RPLCLOLORC;;A) (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;EA) (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;CO)(A;CI。RPWPCCDCLCLORCWOWDSDDTSW ; ; ;SY) (A ;CI。RPLCLORC ; ; ;AU) (OA ;CI。CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939 ; ;AU) (A ;CI。LCRPLORC ; ; ;ED)


    注意更改defaultSecurityDescriptor属性不会修改任何预先存在的 gpo 的安全描述符。但是,可能用于上述全部字符串替换 sdutil.exe 之类的工具一起使用预先存在的 Gpo 中的 ACL。
  8. 将粘贴到新的字符串 编辑属性 框,单击设置单击应用,然后单击确定
注意如果要限制对域管理员或企业管理员必须将 Grouppolicycontainer 对象的默认架构权限拒绝访问。在创建时这些组将添加的组策略对象 addional ACL。对于域管理员,您必须添加域管理员和企业管理员添加管理员。添加拒绝这些组是 restirict 的唯一方法。

X 基于 x64 的 Windows 版本的 Microsoft 技术支持

技术支持和帮助 x 基于 x64 的 Windows 版本,提供了与硬件制造商联系。因为 x 基于 x64 的 Windows 版本不包含与您的硬件,您的硬件制造商提供支持。您的硬件制造商可能已经自定义特有的组件与 Windows 的安装。独特组件可能包括特定设备驱动程序,或者可能包括可选的设置,以最大化硬件的性能。如果您需要技术帮助 x 基于 x64 的 Windows 版本,Microsoft 将提供合理努力协助。但是,您可能必须直接与制造商联系。您的制造商是最有资格来支持您的制造商安装的硬件的软件。

有关 Microsoft Windows XP 专业 x64 版本的产品信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsxp/64bit/default.mspx
(http://www.microsoft.com/windowsxp/64bit/default.mspx)
产品 x 的 Microsoft Windows Server 2003 的基于 x64 的版本有关的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx
(http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx)
回到顶端 | 提供反馈

属性

文章编号: 321476 - 最后修改: 2012年5月25日 - 修订: 1.0
这篇文章中的信息适用于:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
关键字:?
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 321476
(http://support.microsoft.com/kb/321476/en-us/ )
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端