Das Dcgpofix-Tool stellt die Sicherheitseinstellungen in der Standarddomänencontrollerrichtlinie nicht in ihrem ursprünglichen Zustand wieder her
In diesem Artikel wird erläutert, dass das Dcgpofix.exe-Tool die Standard-Gruppenrichtlinie Objects (GPOs) für eine Domäne neu erstellt und dass es am besten ist, dieses Tool nur in Notfallwiederherstellungsszenarien zu verwenden.
Gilt für: Alle unterstützten Versionen von Windows Server
Ursprüngliche KB-Nummer: 833783
Der Dcpromo-Vorgang ändert die Sicherheit einer Domäne inkrementell, basierend auf den vorhandenen Sicherheitseinstellungen auf diesem Server. Daher hängt der endgültige Satz von Sicherheitseinstellungen in der Standarddomänencontrollerrichtlinie nach dem Ausführen von Dcpromo sowohl vom Dcpromo-Vorgang als auch vom Sicherheitsstatus des Systems ab, der vor der Ausführung von Dcpromo vorhanden war. Bevor Sie Dcpromo ausführen, kann der Sicherheitsstatus des Systems durch eine Reihe von Mechanismen geändert werden. Wenn Sie beispielsweise einige Serveranwendungen installieren, können Änderungen an den Benutzerrechten vorgenommen werden, die lokalen Benutzerkonten gewährt werden, z. B. das SUPPORT_388945a0-Konto.
Ursache
Das Dcgpofix-Tool kann nicht wissen, in welchem Zustand sich die Sicherheitseinstellungen vor dem Ausführen von Dcpromo befanden. Daher kann das Dcgpofix-Tool die Sicherheitseinstellungen nicht genau in den ursprünglichen Zustand zurückgeben. Stattdessen erstellt das Dcgpofix-Tool die beiden Standard-GPOs neu und erstellt die Einstellungen basierend auf den Vorgängen, die nur während Dcpromo ausgeführt werden.
Wenn Sie über eine neue Installation von Windows Server verfügen und keine Sicherheitsänderungen am Betriebssystem vorgenommen werden, bevor Sie Dcpromo ausführen, ist die neu erstellte Standarddomänencontrollerrichtlinie, die von Dcgpofix erstellt wird, fast identisch mit der Standarddomänencontrollerrichtlinie direkt nach dem Ausführen von Dcpromo. In diesem Fall gibt es jedoch einige Unterschiede bei den Einstellungen in der Standarddomänencontrollerrichtlinie.
Lösung
Für die allgemeine Sicherung und Wiederherstellung der Standarddomänenrichtlinie und der Standarddomänencontrollerrichtlinie sowie für andere Gruppenrichtlinienobjekte wird empfohlen, die Gruppenrichtlinie Management Console (GPMC) zu verwenden, um reguläre Sicherungen dieser Gruppenrichtlinienobjekte zu erstellen. Anschließend können Sie gpMC in Verbindung mit diesen Sicherungen verwenden, um die genauen Sicherheitseinstellungen wiederherzustellen, die in diesen Gruppenrichtlinienobjekten enthalten sind.
Wenn Sie sich in einem Notfallwiederherstellungsszenario befinden und keine gesicherten Versionen der Standarddomänenrichtlinie oder der Standarddomänencontrollerrichtlinie haben, können Sie die Verwendung des Dcgpofix-Tools in Betracht ziehen. Wenn Sie das Dcgpofix-Tool verwenden, empfiehlt es sich, sobald Sie es ausführen, die Sicherheitseinstellungen in diesen Gruppenrichtlinienobjekten zu überprüfen und die Sicherheitseinstellungen manuell an Ihre Anforderungen anzupassen. Es ist nicht geplant, dass ein Fix veröffentlicht wird, da wir empfehlen, die GPMC zum Sichern und Wiederherstellen aller GPOs in Ihrer Umgebung zu verwenden. Das Dcgpofix-Tool ist ein Tool für die Notfallwiederherstellung, mit dem Ihre Umgebung nur wieder funktionsfähig ist. Es empfiehlt sich, es nicht als Ersatz für eine Sicherungsstrategie mit GPMC zu verwenden. Es empfiehlt sich, das Dcgpofix-Tool nur zu verwenden, wenn keine GPO-Sicherung für die Standarddomänenrichtlinie und die Standarddomänencontrollerrichtlinie vorhanden ist.
Weitere Informationen
In der folgenden Tabelle sind die Unterschiede in den Sicherheitseinstellungen in der Standard-Domänencontrollerrichtlinie nach dem Ausführen des Dcgpofix-Tools sowie die Einstellungen für eine neue Installation von Windows Server nach dem Ausführen von Dcpromo aufgeführt. Es wird empfohlen, diese Sicherheitseinstellungen an die Anforderungen in Ihrer Umgebung anzupassen, nachdem Sie das Dcgpofix-Tool ausgeführt haben.
| Einstellung in der Standarddomänencontrollerrichtlinie | Wert nach dem Ausführen von DCPromo auf einem sauber installierten Windows Server | Wert nach dem Ausführen von DCGPOFIX |
|---|---|---|
| Überwachungseinstellungen | ||
| Kontoverwaltung überwachen | Erfolgreich | Keine Überwachung |
| Überwachen des Verzeichnisdienstzugriffs | Erfolgreich | Keine Überwachung |
| Richtlinienänderung überwachen | Erfolgreich | Keine Überwachung |
| Systemereignisse überwachen | Erfolgreich | Keine Überwachung |
| Benutzerrechte | ||
| Create Global Objects | Nicht definiert | SERVICE, Administratoren |
| Verweigern des Zugriffs auf den Computer aus dem Netzwerk | SUPPORT_388945a0 | (Leer) |
| Lokale Anmeldung verweigern | SUPPORT_388945a0 | (Leer) |
| Annehmen der Clientidentität nach Authentifizierung | Nicht definiert | SERVICE, Administratoren |
| Laden und Entladen von Gerätetreibern | Administratoren, Druckoperatoren | Administratoren |
| Als Batchauftrag anmelden | LOKALER DIENST, SUPPORT_388945a0 | (Leer) |
| Anmelden als Dienst | NETZWERKDIENST | (Leer) |
| Herunterfahren des Systems | Administratoren, Sicherungsoperatoren, Serveroperatoren, Druckoperatoren | Kontooperatoren, Administratoren, Sicherungsoperatoren, Serveroperatoren, Druckoperatoren |
Die folgenden Einstellungen ändern sich, nachdem Sie das Dcgpofix-Tool ausgeführt haben:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
Basierend auf den Konfigurationsoptionen können die folgenden Einstellungen auch Folgendes ändern:
- SeBatchLogonRight (nur LOKALER DIENST, nicht das SUPPORT_388945a0-Konto)
- SeServiceLogonRight
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für