文章編號: 833783 - 上次校閱: 2007年3月16日 - 版次: 1.3

Dcgpofix 工具不會還原預設網域控制站原則中的安全性設定設為原始狀態

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

徵狀

Dcgpofix.exe 工具的文件不正確地指出 Dcgpofix 工具會還原在預設的網域控制站原則的安全性設定,就像在 Dcpromo 順利完成之後,立即為相同的狀態。這不是大小寫。

若要使用 Dcgpofix 工具只能在嚴重損壞修復案例中最好是。 Dcpromo 作業以累加的方式根據現有的安全性設定,該伺服器上修改網域的安全性。因此,執行 Dcpromo 之後最後預設網域控制站原則中的安全性設定一組則會取決於 Dcpromo 作業和執行 Dcpromo 前即已存在的系統的安全性狀態。執行 Dcpromo 之前可以修改系統的安全性狀態的機制數目。比方說您在安裝某些伺服器應用程式時可能會變更到授如 SUPPORT_388945a0 帳戶的本機使用者帳戶的使用者權限。
回此頁最上方

發生的原因

Dcgpofix 工具無法知道什麼狀態中之前執行 Dcpromo 原本的設定安全性。因此,Dcgpofix 工具無法傳回精確原始的狀態的安全性設定。而是,Dcgpofix 工具會重新建立兩個預設群組原則物件 (GPO),並會建立根據 [只在 Dcpromo 期間執行的作業設定。

如果您有新的 Microsoft Windows Server 2003 安裝並沒有安全性變更作業系統才能執行 Dcpromo,將重新建立預設網域控制站原則由 Dcgpofix 建立將會預設網域控制站原則幾乎相同只在您執行 Dcpromo 之後。不過,會有一些預設網域控制站原則中設定的差異在這種情況下。
回此頁最上方

解決方案

一般的備份及還原預設網域原則與預設的網域控制站原則],也為其他 GPO,Microsoft 會建議您在建立這些項目的的定期備份的 GPO,使用群組原則管理主控台 (GPMC)。就可以使用 GPMC 搭配這些備份與還原這些 GPO 中所包含的確切的安全性設定。

如需有關 「 GPMC 的詳細資訊,請造訪下列 Microsoft 網站]:
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx (http://www.microsoft.com/windowsserver2003/gpmc/default.mspx)
如果您是在嚴重損壞修復案例,而且您沒有任何備份的版本 「 預設網域原則或預設網域控制站原則,您可以考慮使用 Dcgpofix] 工具。如果您使用 Dcgpofix 工具,Microsoft 建議只要執行它您檢閱這些 GPO 中的安全性設定並手動調整安全性設定以符合您的需求。 未排定釋放因為 Microsoft 建議您用來備份並還原您的環境中的所有 GPO 的 GPMC 修正程式。Dcgpofix 工具是一種嚴重損壞修復工具,會將您的環境還原到只功能性的狀態。最好不是用來當成使用 GPMC 的備份策略用來取代。最好使用 Dcgpofix 工具回最多為 「 預設網域原則 GPO 時才是,預設網域控制站原則不存在。
回此頁最上方

其他相關資訊

下表列出預設網域控制站原則中的安全性設定的差異之後您 Dcgpofix 工具和設定在執行 Windows Server 2003 的新安裝之後執行 Dcpromo。Microsoft 建議您調整這些安全性設定,以符合需求,在您的環境中之後您執行 Dcgpofix 工具。

摺疊此表格展開此表格
設定在預設網域控制站原則俐落地執行 DCPromo 安裝 Windows Server 2003 系統之後的值在執行 DCGPOFIX 之後的值
稽核設定
稽核帳戶管理成功沒有稽核
稽核目錄服務存取成功沒有稽核
稽核原則變更成功沒有稽核
稽核系統事件成功沒有稽核
使用者權限
建立通用物件未定義服務,系統管理員
拒絕從網路存取電腦SUPPORT_388945a0(空白)
拒絕本機登入SUPPORT_388945a0(空白)
在驗證後模擬用戶端未定義服務,系統管理員
載入和卸載裝置驅動程式管理員列印操作員系統管理員
以批次工作登入區域服務 SUPPORT_388945a0(空白)
以服務登入網路服務(空白)
將系統關機管理員備份操作員,伺服器操作員列印操作員帳戶操作員]、 [系統管理員]、 [備份操作員,伺服器操作員列印操作員


下列的設定將會變更之後您執行 Dcgpofix 工具,:
  • AuditAccountManage
  • AuditDSAccess
  • AuditPolicyChange
  • AuditSystemEvents
  • SeCreateGlobalPrivilege
  • SeImpersonatePrivilege
  • SeLoadDriverPrivilege
  • SeShutdownPrivilege
根據組態選項,下列設定值也可能會變更以下:
  • SeBatchLogonRight (只有區域服務,不 SUPPORT_388945a0 帳戶)
  • SeServiceLogonRight
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
回此頁最上方
關鍵字:?
kbmt kbwinservds kbwinservperf kbmgmtservices kbinfo KB833783 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:833783? (http://support.microsoft.com/kb/833783/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。