如何變更 Gpo,在 Windows Server 2008 R2、 Windows Server 2008,Windows Server 2003 和 Windows 2000 Server 中的預設權限

文章編號: 321476 - 檢視此文章適用的產品。
機器翻譯檢視機器翻譯免責聲明
全部展開 | 全部摺疊

在此頁中

結論

若要加強安全性,在群組原則物件 (Gpo),以防止所有但信任的系統管理員無法變更群組原則的群組上。您可以藉由修改 [群組原則] 容器classScema物件的DefaultSecurityDescriptor屬性來這麼做。不過,變更只會影響新建立的 Gpo。現有的 gpo,您可以修改直接在 [群組原則] 容器上的權限 (CN = {GPO_GUID},CN = 系統,DC = 網域...)] 和 [群組原則範本 (\\domain\SYSVOL\Policies\{GPO_GUID})。此程序也有助於避免系統管理範本 (ADM 檔案) 中 「 群組原則 」 範本來自未受管理的工作站的 ADM 檔案不小心被更新。
回此頁最上方 | 提供意見

其他相關資訊

建立新的 Active Directory 物件時,其結構描述中的classSchema 物件DefaultSecurityDescriptor屬性中指定的權限套用到它。有鑑於此,建立一個 GPO 時,其groupPolicyContainer物件會接收它的 ACL 中的DefaultSecurityDescriptor屬性從CN = [群組原則的容器,CN = 結構描述,CN = 設定,DC = forestroot...物件。「 群組原則編輯器 」 也會適用於資料夾、 子資料夾及檔案群組原則的範本 (SYSVOL\Policies\ {GPO_GUID}) 中的這些權限。

若要修改的群組原則容器classSchema物件的DefaultSecurityDescriptor屬性,您可以使用下列程序。請注意,因為這是結構描述變更時,即已經啟動完整的複寫所有的 Gc 的整個樹系。使用安全性描述元定義語言 (SDDL) 會寫入結構描述的權限。如需有關 SDDL 的詳細資訊,請造訪下列 Microsoft 網站:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
(http://msdn2.microsoft.com/en-us/library/aa379567.aspx)
若要修改的群組原則容器classSchema物件的DefaultSecurityDescriptor屬性:
  1. 樹系架構主機網域控制站,是架構管理員群組的成員的帳戶登入。
  2. 開始 Mmc.exe,,然後加入 [架構] 嵌入式管理單元。
  3. 現用的目錄結構描述,以滑鼠右鍵按一下,然後按一下 [操作主機。
  4. 按一下 可以在這個網域控制站上修改架構然後按一下[確定]
  5. 使用 ADSI 編輯器,來開啟結構描述的命名內容,,然後尋找CN = [群組原則容器classSchema類型的物件。
  6. 檢視物件的內容,並找出defaultSecurityDescriptor屬性。
  7. 貼上下列字串到要移除的值會撰寫為網域系統管理員的權限,以便只為企業系統管理員就必須寫入權限:
    D:P(A;CI ;RPLCLOLORC;;A) (A;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI ;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI ;RPLCLORC;;AU) (OA ;CI ;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    若要為其他群組的寫入權限前, 一個文字的結尾加入下列文字:
    (A;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    請注意, Group_SID 是授予權限的 SID。

    附註Windows Server 2003,您可以在defaultSecurityDescriptor屬性中貼上,請依照下列字串:
    D:P(A;CI ;RPLCLOLORC;;A) (A;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI ;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI ;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI ;RPLCLORC;;AU) (OA ;CI ;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI ;LCRPLORC;;ED)


    附註變更defaultSecurityDescriptor屬性不會修改任何已存在之 gpo 的安全性描述元。但是,您可能,使用在上述的整個字串來取代既有的 Gpo,搭配上的 ACL 與 sdutil.exe 等工具。
  8. 貼上到新的字串 編輯屬性 方塊中,按一下 [設定、 按一下 [套用],然後按一下[確定]
附註如果您想要限制存取網域系統管理員或企業系統管理員必須將拒絕插入 Grouppolicycontainer 物件的預設結構描述權限。這些群組會加入 addional ACL 的群組原則物件建立時。為網域系統管理員,您必須將網域系統管理員及企業系統管理員新增系統管理員。新增拒絕這些群組是 restirict 的唯一方法。

技術支援人員 x Microsoft Windows x64 版本

您的硬體製造商提供的技術支援與 x64 型版本的 Windows 協助。由於 Windows x64 版是隨附在您的硬體,硬體製造商會提供支援。您的硬體製造商可能曾經自訂安裝的 Windows 利用特殊元件。特殊的元件可能包括特定裝置驅動程式,或者可能包含選擇性的設定,以延長硬體的效能。如需技術協助您 x x64 為主的 Windows 版本,Microsoft 會提供合理處理過程的協助。不過,您可能必須直接與您的製造商連絡。您的製造商是最佳人選來支援的硬體預先安裝的軟體。

如需有關 Microsoft Windows XP 商用版 x64 版產品資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsxp/64bit/default.mspx
(http://www.microsoft.com/windowsxp/64bit/default.mspx)
如需產品資訊的 Microsoft Windows Server 2003 的 x64 為主版,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx
(http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx)
回此頁最上方 | 提供意見

屬性

文章編號: 321476 - 上次校閱: 2012年5月25日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
關鍵字:?
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:321476
(http://support.microsoft.com/kb/321476/en-us/ )
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方