Lo strumento Dcgpofix non ripristina lo stato originale delle impostazioni di sicurezza nei criteri controller di dominio predefiniti
Questo articolo spiega che lo strumento Dcgpofix non ripristina le impostazioni di sicurezza nei criteri del controller di dominio predefiniti nello stesso stato in cui si trovava dopo aver completato correttamente Dcpromo e che è consigliabile usare questo strumento solo nello scenario di ripristino di emergenza.
Si applica a: Windows Server 2012 R2
Numero KB originale: 833783
Sintomi
La documentazione relativa allo strumento Dcgpofix.exe indica erroneamente che lo strumento Dcgpofix ripristinerà le impostazioni di sicurezza nei criteri controller di dominio predefiniti nello stesso stato in cui si trovava immediatamente dopo il completamento di Dcpromo. Non è così.
È consigliabile usare lo strumento Dcgpofix solo in scenari di ripristino di emergenza. L'operazione Dcpromo modifica la sicurezza del dominio in modo incrementale, in base alle impostazioni di sicurezza esistenti in tale server. Pertanto, dopo aver eseguito Dcpromo, il set finale di impostazioni di sicurezza nei criteri controller di dominio predefiniti dipende sia dall'operazione Dcpromo che dallo stato di sicurezza del sistema esistente prima dell'esecuzione di Dcpromo. Prima di eseguire Dcpromo, lo stato di sicurezza del sistema può essere modificato da una serie di meccanismi. Ad esempio, quando si installano alcune applicazioni server, è possibile apportare modifiche ai diritti utente concessi agli account utente locali, ad esempio l'account SUPPORT_388945a0.
Causa
Lo strumento Dcgpofix non è in grado di sapere in quale stato erano presenti le impostazioni di sicurezza prima di eseguire Dcpromo. Di conseguenza, lo strumento Dcgpofix non può restituire le impostazioni di sicurezza esattamente allo stato originale. Invece, lo strumento Dcgpofix ricrea i due oggetti Criteri di gruppo predefiniti (oggetti Criteri di gruppo) e crea le impostazioni in base alle operazioni eseguite solo durante Dcpromo.
Se si dispone di una nuova installazione di Windows Server e non vengono apportate modifiche di sicurezza al sistema operativo prima di eseguire Dcpromo, i criteri del controller di dominio predefiniti creati da Dcgpofix saranno quasi gli stessi dei criteri controller di dominio predefiniti subito dopo l'esecuzione di Dcpromo. In questo caso, tuttavia, ci saranno alcune differenze nelle impostazioni dei criteri del controller di dominio predefiniti.
Risoluzione
Per il backup generale e il ripristino dei criteri di dominio predefiniti e dei criteri controller di dominio predefiniti e anche per altri oggetti Criteri di gruppo, Microsoft consiglia di usare la console di gestione Criteri di gruppo per creare backup regolari di questi oggetti Criteri di gruppo. È quindi possibile usare Gestione Criteri di gruppo insieme a questi backup per ripristinare le impostazioni di sicurezza esatte contenute in questi oggetti Criteri di gruppo.
Se si è in uno scenario di ripristino di emergenza e non si dispone di versioni di cui è stato eseguito il backup dei criteri di dominio predefiniti o dei criteri del controller di dominio predefiniti, è possibile usare lo strumento Dcgpofix. Se si usa lo strumento Dcgpofix, Microsoft consiglia di esaminare le impostazioni di sicurezza in questi oggetti Criteri di gruppo non appena viene eseguito e modificare manualmente le impostazioni di sicurezza in base alle proprie esigenze. Non è pianificata la versione di una correzione perché Microsoft consiglia di usare Gestione Criteri di gruppo per eseguire il backup e il ripristino di tutti gli oggetti Criteri di gruppo nell'ambiente. Lo strumento Dcgpofix è uno strumento di ripristino di emergenza che ripristina solo lo stato funzionale dell'ambiente. È consigliabile non usarlo come sostituzione di una strategia di backup tramite Console Gestione Criteri di gruppo. È consigliabile usare lo strumento Dcgpofix solo quando non esiste un backup dell'oggetto Criteri di gruppo per i criteri di dominio predefiniti e i criteri del controller di dominio predefiniti.
Ulteriori informazioni
La tabella seguente elenca le differenze nelle impostazioni di sicurezza nei criteri controller di dominio predefiniti dopo aver eseguito lo strumento Dcgpofix e le impostazioni in una nuova installazione di Windows Server dopo l'esecuzione di Dcpromo. Microsoft consiglia di modificare queste impostazioni di sicurezza in modo che corrispondano ai requisiti dell'ambiente dopo l'esecuzione dello strumento Dcgpofix.
| Impostazione nei criteri controller di dominio predefiniti | Valore dopo l'esecuzione di DCPromo in Windows Server installato in modo pulito | Valore dopo l'esecuzione di DCGPOFIX |
|---|---|---|
| Impostazioni di controllo | ||
| Audit Account Management | Esito positivo | Nessun controllo |
| Controllare l'accesso al servizio directory | Esito positivo | Nessun controllo |
| Modifica dei criteri di controllo | Esito positivo | Nessun controllo |
| Eventi di sistema di controllo | Esito positivo | Nessun controllo |
| Diritti utente | ||
| Creare oggetti globali | Non definito | SERVICE, Administrators |
| Negare l'accesso al computer dalla rete | SUPPORT_388945a0 | (Vuoto) |
| Nega accesso in locale | SUPPORT_388945a0 | (Vuoto) |
| Rappresenta un client dopo l'autenticazione | Non definito | SERVICE, Administrators |
| Caricare e scaricare i driver di dispositivo | Amministratori, operatori di stampa | Amministratori |
| Accesso come processo batch | SERVIZIO LOCALE, SUPPORT_388945a0 | (Vuoto) |
| Accedi come servizio | NETWORK SERVICE | (Vuoto) |
| Arrestare il sistema | Amministratori, operatori di backup, operatori del server, operatori di stampa | Operatori account, amministratori, operatori di backup, operatori del server, operatori di stampa |
Le impostazioni seguenti cambieranno dopo l'esecuzione dello strumento Dcgpofix:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
In base alle opzioni di configurazione, le impostazioni seguenti possono anche modificare quanto segue:
- SeBatchLogonRight (solo SERVIZIO LOCALE, non l'account SUPPORT_388945a0)
- SeServiceLogonRight
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per