Popis změn nastavení zabezpečení DCOM po instalaci Windows Server 2003 Service Pack 1

ID článku: 903220 - Produkty, které se vztahují k tomuto článku.
Strojově přeložený článekUPOZORNĚNÍ: TENTO ČLÁNEK BYL STROJOVĚ PŘELOŽEN
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Úvod

Server, 2003, Service, Pack, Microsoft Windows 1, (SP1) přináší některé vylepšené výchozí nastavení zabezpečení pro protokol DCOM. Konkrétně aktualizace Windows Server 2003 SP1 zavádí práva udělit správce nezávislých kontrolu nad místní a vzdálené oprávnění pro spuštění servery COM, aktivace nastavení serveru COM a COM přístupu k serverům. Tento článek popisuje změny nastavení zabezpečení DCOM.
Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

Certifikát služby Windows Server 2003 používá protokol DCOM zápis a správu služby. Certifikát služby poskytuje několik rozhraní DCOM zpřístupnit zápis a správu služby. Pro správný přístup a použití těchto služeb certifikát služby předpokládá, že rozhraní DCOM jsou nastavena povolit vzdálený přístup a aktivace oprávnění. Protože výchozí nastavení zabezpečení DCOM jsou použity při upgradu na systém Windows Server 2003 SP1, však pravděpodobně nutné aktualizovat nastavení zabezpečení Ujistěte se, že zápis a správu služby jsou k dispozici.

Ve výchozím nastavení jsou všechna rozhraní DCOM v systému Windows Server 2003 SP1 nakonfigurována udělit oprávnění ke vzdálenému přístupu, vzdálené spouštěcí oprávnění a vzdálené aktivace oprávnění správci. Však při upgradu na systém Windows Server 2003 SP1 zabezpečení provedeny změny konfigurace jsou globální rozhraní DCOM a rozhraní DCOM CertSrv požadavku. Tyto změny provedeny povolit certifikát služby správně pracovat.

Poznámka: Změny provedené CertSrv požadavku DCOM rozhraní zabezpečení nastavení před instalací systému Windows Server 2003 SP1 budou ztraceny. Instalační program systému Windows Server 2003 SP1 obnoví všechna předchozí nastavení zabezpečení v rozhraní DCOM CertSrv Request jejich výchozí nastavení.

Během instalace systému Windows Server 2003 SP1, certifikát služby automaticky aktualizuje DCOM způsobem nastavení zabezpečení:
    Rozhraní CertSrv Request DCOM
    • Everyone skupinu zabezpečení udělena oprávnění místního a vzdáleného přístupu.
    • Everyone skupinu zabezpečení udělena oprávnění místní a vzdálené aktivace.
    • Není skupina zabezpečení Everyone uděleno oprávnění místní nebo vzdálené spuštění.

  • Nastavení omezení počítače DCOM
    • Nové skupiny zabezpečení CERTSVC_DCOM_ACCESS, je automaticky vytvořen.

      Pokud je certifikační úřad nainstalován na členském serveru, CERTSVC_DCOM_ACCESS vytvořena jako místní skupinu počítače. Everyone přidána skupina zabezpečení k CERTSVC_DCOM_ACCESS.

      Pokud je certifikační úřad nainstalován v řadiči domény, CERTSVC_DCOM_ACCESS vytvořena jako místní skupiny domény. Skupiny zabezpečení Domain Users a skupiny zabezpečení Domain Computers z certifikačního úřadu domény jsou přidány CERTSVC_DCOM_ACCESS. Řadiče domény potřebují přístup k tomuto rozhraní vyžádat certifikáty od certifikačního úřadu, je nutné přidat skupinu zabezpečení agendy. Musíte to provést, protože řadiče domény nejsou součástí skupiny zabezpečení Domain Computers.
    • Skupiny zabezpečení CERTSVC_DCOM_ACCESS udělena oprávnění místního a vzdáleného přístupu.
    • Skupiny zabezpečení CERTSVC_DCOM_ACCESS udělena oprávnění místní a vzdálené aktivace.
    • Skupina zabezpečení CERTSVC_DCOM_ACCESS není uděleno oprávnění místní nebo vzdálené spuštění.
    Poznámka: Pokud certifikační úřad je nainstalována na řadiči domény a rozlehlé sítě se skládá z více než jednu doménu, nemůže certifikát služby automaticky aktualizovat nastavení zabezpečení DCOM pro Zapisovaným z mimo certifikačního úřadu domény. Proto tyto Zapisovaným bude odepřen přístup pro zápis k certifikačnímu úřadu.

    Chcete-li tento problém vyřešit, musíte ručně přidat uživatele CERTSVC_DCOM_ACCESS skupiny zabezpečení. Protože je skupina zabezpečení CERTSVC_DCOM_ACCESS místní skupiny domény, můžete jej přidat pouze skupiny domény. Například pokud uživatelů a počítačů z jiné domény domény Contoso zapsat certifikačního úřadu, musíte ručně přidat skupiny Users Contoso\Domain a skupiny Computers Contoso\Domain do skupiny zabezpečení CERTSVC_DCOM_ACCESS.

    Zapisovaným, které by měly být ověřeny certifikační úřad odepřen autorizace po instalaci systému Windows Server 2003 SP1, můžete mít certifikát služby znovu aktualizovat nastavení zabezpečení DCOM. Chcete-li to provést, zadejte na příkazovém řádku následující příkazy a po každém příkazu stiskněte klávesu ENTER.
    certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG je příznak registru služby vnitřní certifikát, který označuje nastavení zabezpečení DCOM byly úspěšně aktualizovány. Certifikát služby zkontroluje tento příznak každém certifikační služby, která je spuštěna. Předchozí příkazy obnovit příznak a poté zastavit a spustit certifikát služby. Toto chování způsobí, že certifikát služby znovu aktualizovat nastavení zabezpečení DCOM.
Po instalaci systému Windows Server 2003 SP1, mohou být zaznamenány následující události.

Zpráva události 1
Typ události: Chyba
Zdroj události: Automatický zápis
Kategorie události: žádný
ID události: 13
Datum: date
Čas: time
Uživatel: N/A
computer_name počítač:
Popis: Zápis automatických certifikátů pro místního systému se nepodařilo zapsat jeden certifikát E-mail replikace adresářů (0x80070005). Přístup byl odepřen. Další informace získáte v Centru pro nápovědu a pomoc na adrese http://support.microsoft.com.
Zpráva události 2
Typ události: Chyba
Zdroj události: Automatický zápis
Kategorie události: žádný
ID události: 13
Datum: date
Čas: time
Uživatel: N/A
computer_name počítač:
Popis: Zápis automatických certifikátů pro místního systému se nepodařilo zapsat jeden certifikát ověření Workstation (0x80070005). Přístup byl odepřen. Další informace získáte v Centru pro nápovědu a pomoc na adrese http://support.microsoft.com.
Ručně vyžádání certifikátu pomocí modulu snap-in certifikátu, může se zobrazit následující chybová zpráva:
Žádost o certifikát se nezdařila z jednoho z následujících podmínek:-požadavek na certifikát byl odeslán do certifikačního úřadu (CÚ), který není spuštěn. -Nemáte oprávnění k žádosti o certifikáty ze dostupné CÚ.
Poznámka: Pokud tyto chyby dojít k řadiči domény, potom přidat skupiny agendy skupiny CERTSVC_DCOM_ACCESS. Řadiče domény nejsou členy globální skupiny Domain Computers a ve výchozím nastavení nebude mít dostatečná oprávnění DCOM.

Změnit členství ve skupině zahrnout skupiny agendy, je nutné restartovat řadič domény, aby odrážel změnu.

Technická podpora pro 64bitové verze systému Microsoft Windows

Pokud byl hardware dodán s již nainstalovanou 64bitovou verzí systému Microsoft Windows, technickou podporu a pomoc pro 64bitovou verzi systému Windows zajišťuje výrobce hardwaru. Je to z toho důvodu, že systém Windows XP x64 byl součástí dodaného hardwaru. Výrobce hardwaru mohl upravit instalaci systému Windows x64 pomocí jedinečných součástí. Mohl například zahrnout specifické ovladače zařízení a volitelná nastavení, aby maximalizoval výkon vlastního hardwaru. Společnost Microsoft bude přiměřeně nápomocna v případě, že potřebujete technickou pomoc s vydáním systému Windows x64. Pravděpodobně byste se však měli obrátit přímo na výrobce hardwaru. Výrobce je tím nejkvalifikovanějším pro poskytnutí podpory k softwaru, který instaloval do hardwaru. Pokud jste zakoupili 64bitovou verzi systému Windows samostatně, například 64bitovou verzi systému Microsoft Windows Server 2003, poskytne technickou podporu společnost Microsoft.

Informace o systému Microsoft Windows XP Professional x64 Edition získáte na následujícím webu společnosti Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
(http://www.microsoft.com/windowsxp/64bit/default.mspx)
Další informace o verzích x64 systému Microsoft Windows Server 2003 naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx
(http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx)
Další informace o rozšíření zabezpečení DCOM, které jsou zavedeny Windows Server 2003 SP1 na následujícím webu společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en)
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 903220 - Poslední aktualizace: 11. října 2007 - Revize: 8.5
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Klíčová slova: 
kbmt kbhowto kbinfo KB903220 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:903220
(http://support.microsoft.com/kb/903220/en-us/ )
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru