Περιγραφή των αλλαγών στις ρυθμίσεις ασφαλείας του DCOM μετά την εγκατάσταση του Windows Server 2003 Service Pack 1

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 903220 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

ΕΙΣΑΓΩΓΗ

Microsoft Windows Server 2003 Service Pack 1 (SP1) παρουσιάζει ορισμένες βελτιωμένες προεπιλεγμένες ρυθμίσεις ασφαλείας για το πρωτόκολλο DCOM. Ειδικότερα, τα Windows Server 2003 SP1 παρουσιάζει δικαιώματα που θα σας δώσει ο διαχειριστής ανεξάρτητο έλεγχο σε τοπική και απομακρυσμένη δικαιώματα για την εκκίνηση διακομιστές COM, ενεργοποίηση ρυθμίσεων διακομιστή COM και πρόσβαση σε COM διακομιστές. Αυτό το άρθρο περιγράφει τις αλλαγές στις ρυθμίσεις ασφαλείας του DCOM.

Περισσότερες πληροφορίες

Υπηρεσίες πιστοποιητικών των Windows Server 2003 χρησιμοποιεί το πρωτόκολλο DCOM για την παροχή υπηρεσιών εγγραφής και διαχείρισης. Πιστοποιητικό υπηρεσιών παρέχει πολλές διασυνδέσεις DCOM για τη διάθεση των υπηρεσιών εγγραφής και διαχείρισης. Για σωστή πρόσβαση και τη χρήση αυτών των υπηρεσιών, τις υπηρεσίες πιστοποιητικών θεωρεί ότι έχουν ρυθμιστεί οι διασυνδέσεις DCOM για να ενεργοποιήσετε την απομακρυσμένη πρόσβαση και η ενεργοποίηση δικαιωμάτων. Ωστόσο, επειδή οι προεπιλεγμένες ρυθμίσεις ασφαλείας για DCOM εφαρμόζονται κατά την αναβάθμιση σε Windows Server 2003 SP1, ενδέχεται να χρειαστεί να ενημερώσετε αυτές τις ρυθμίσεις ασφαλείας για να βεβαιωθείτε ότι η εγγραφή και υπάρχουν διαθέσιμες υπηρεσίες διαχείρισης.

By default, all DCOM interfaces in Windows Server 2003 SP1 are configured to grant remote access permissions, remote launch permissions, and remote activation permissions to administrators. However, when you upgrade to Windows Server 2003 SP1, security configuration changes are made to the global DCOM interface and to the CertSrv Request DCOM interface. These changes are made to enable certificate services to work correctly.

ΣΗΜΕΙΩΣΗAny changes that have been made to the CertSrv Request DCOM interface security settings before you install Windows Server 2003 SP1 are lost. Windows Server 2003 SP1 Setup resets all previous security settings in the CertSrv Request DCOM interface to their default settings.

During Windows Server 2003 SP1 Setup, certificate services automatically updates the DCOM security settings as follows:
    CertSrv Request DCOM interface
    • The Everyone security group is granted local and remote access permissions.
    • The Everyone security group is granted local and remote activation permissions.
    • The Everyone security group is not granted local or remote launch permissions.

  • DCOM computer restriction settings
    • A new security group, CERTSVC_DCOM_ACCESS, is automatically created.

      If the certification authority is installed on a member server, CERTSVC_DCOM_ACCESS is created as a computer local group. The Everyone security group is added to CERTSVC_DCOM_ACCESS.

      If the certification authority is installed on a domain controller, CERTSVC_DCOM_ACCESS is created as a domain local group. The Domain Users security group and the Domain Computers security group from the certification authority’s domain are added to CERTSVC_DCOM_ACCESS. If domain controllers need access to this interface to request certificates from the certification authority, you must add the Domain Controllers security group. You must do this because domain controllers are not part of the Domain Computers security group.
    • The CERTSVC_DCOM_ACCESS security group is granted local and remote access permissions.
    • The CERTSVC_DCOM_ACCESS security group is granted local and remote activation permissions.
    • The CERTSVC_DCOM_ACCESS security group is not granted local or remote launch permissions.
    ΣΗΜΕΙΩΣΗIf the certification authority is installed on a domain controller and if the enterprise consists of more than one domain, certificate services cannot automatically update the DCOM security settings for enrollees from outside the certification authority's domain. Therefore, these enrollees will be denied enrollment access to the certification authority.

    To resolve this issue, you must manually add the users to the CERTSVC_DCOM_ACCESS security group. Because the CERTSVC_DCOM_ACCESS security group is a domain local group, you can add only domain groups to it. For example, if users and computers from another domain, the Contoso domain, have to enroll with the certification authority, you must manually add the Contoso\Domain Users group and the Contoso\Domain Computers group to the CERTSVC_DCOM_ACCESS security group.

    If any enrollees that should be authorized by the certification authority are denied authorization after Windows Server 2003 SP1 is installed, you can have certificate services update the DCOM security settings again. To do this, type the following commands at the command prompt, and then press ENTER after each command.
    certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG is an internal certificate services registry flag that indicates that the DCOM security settings were successfully updated. Certificate services checks this flag every time that certificate services is started. The previous commands reset the flag and then stop and start certificate services. This behavior causes certificate services to update the DCOM security settings again.
The following events may be logged after you install Windows Server 2003 SP1.

Μήνυμα συμβάντος 1
Τύπος συμβάντος (Event Type): Σφάλμα (Error)
Event Source: AutoEnrollment
Κατηγορία συμβάντος: καμία
Event ID: 13
Ημερομηνία:Ημερομηνία
Ώρα:Ώρα
Χρήστης: δ/Υ
Computer:Όνομα_υπολογιστή
Description: Automatic certificate enrollment for local system failed to enroll for one Directory Email Replication certificate (0x80070005). Δεν επιτρέπεται η πρόσβαση. Date Timestamp Error IUCTL Failed to download iuident.cab from http://www.windowsupdate.com/v4/ to C:\Program Files\WindowsUpdate\V4\temp Error 0x80070005: Access is denied. Για περισσότερες πληροφορίες, ανατρέξτε στο Κέντρο Βοήθειας και υποστήριξης (Help and Support Center) στη διεύθυνση http://support.microsoft.com.
Μήνυμα συμβάντος 2
Τύπος συμβάντος (Event Type): Σφάλμα (Error)
Event Source: AutoEnrollment
Κατηγορία συμβάντος: καμία
Event ID: 13
Ημερομηνία:Ημερομηνία
Ώρα:Ώρα
Χρήστης: δ/Υ
Computer:Όνομα_υπολογιστή
Description: Automatic certificate enrollment for local system failed to enroll for one Workstation Authentication certificate (0x80070005). Δεν επιτρέπεται η πρόσβαση. Date Timestamp Error IUCTL Failed to download iuident.cab from http://www.windowsupdate.com/v4/ to C:\Program Files\WindowsUpdate\V4\temp Error 0x80070005: Access is denied. Για περισσότερες πληροφορίες, ανατρέξτε στο Κέντρο Βοήθειας και υποστήριξης (Help and Support Center) στη διεύθυνση http://support.microsoft.com.
When you manually request a certificate by using the Certificate snap-in, you may receive the following error message:
The certificate request failed because of one of the following conditions: -The certificate request was submitted to a Certification Authority (CA) that is not started. -You do not have the permissions to request certificates from the available CAs.
ΣΗΜΕΙΩΣΗIf these errors occur on a domain controller, then add the Domain Controllers group to the CERTSVC_DCOM_ACCESS group. Domain controllers are not members of the Domain Computers global group and will not have sufficient DCOM permissions by default.

If you change the group membership to include the Domain Controllers group, you must restart the domain controller to reflect the change.

Τεχνική υποστήριξη για εκδόσεις των Microsoft Windows που βασίζονται στην αρχιτεκτονική x64

Εάν το υλικό σας είχε ήδη εγκατεστημένα τα Microsoft Windows x64 edition, ο κατασκευαστής υλικού σας παρέχει τεχνική υποστήριξη και βοήθεια για τα Windows x64 edition. Σε αυτήν την περίπτωση, ο κατασκευαστής του υλικού σας παρέχει υποστήριξη επειδή η έκδοση x64 των Windows περιλαμβανόταν στο υλικό σας. Ο κατασκευαστής του υλικού σας ενδέχεται να προσάρμοσε την εγκατάσταση της έκδοσης x64 των Windows με μοναδικά στοιχεία. Τα μοναδικά στοιχεία μπορεί να είναι προγράμματα οδήγησης συγκεκριμένων συσκευών ή προαιρετικές ρυθμίσεις για μεγιστοποίηση των επιδόσεων του υλικού. Η Microsoft θα σας παράσχει κάθε δυνατή βοήθεια εάν χρειαστείτε τεχνική υποστήριξη με μια έκδοση x64 των Windows. Ωστόσο, ίσως χρειαστεί να επικοινωνήσετε απευθείας με τον κατασκευαστή. Ο κατασκευαστής του υλικού είναι πιο αρμόδιος να υποστηρίξει το λογισμικό που ο ίδιος εγκατέστησε στο υλικό. Εάν αγοράσατε ξεχωριστά μια έκδοση x64 των Windows, όπως ο Microsoft Windows Server 2003 x64, επικοινωνήστε με τη Microsoft για τεχνική υποστήριξη.

Για πληροφορίες προϊόντος σχετικά με το Microsoft Windows XP Professional x64 Edition, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Για πληροφορίες προϊόντος σχετικά με τις εκδόσεις x64 του Microsoft Windows Server 2003, επισκεφτείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx
For more information about the DCOM security enhancements that are introduced by Windows Server 2003 SP1, visit the following Microsoft Web site:
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en

Ιδιότητες

Αναγν. άρθρου: 903220 - Τελευταία αναθεώρηση: Παρασκευή, 24 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Λέξεις-κλειδιά: 
kbhowto kbinfo kbmt KB903220 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:903220

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com