Windows Server 2003 Service Pack 1'i yükledikten sonra DCOM güvenlik ayarlarýndaki deðiþiklikler açýklamasý

Microsoft Windows Server 2003 Service Pack 1 (SP1), DCOM iletiþim kuralý için bazý geliþtirilmiþ varsayýlan güvenlik ayarlarý tanýtýr. Özellikle, Windows Server 2003 SP1, baðýmsýz denetim üzerinden yerel ve uzak yönetici vermek haklarý tanýtýr COM sunucularý baþlatma, COM sunucusu ayarlarýný etkinleþtirme ve COM eriþim izinleri sunucularý. Bu makalede, DCOM güvenlik ayarlarýnda yapýlan deðiþiklikleri açýklar.

Windows Server 2003 Sertifika Hizmetleri, kayýt ve yönetim hizmetleri saðlamak için DCOM iletiþim kuralý kullanýr. Sertifika Hizmetleri, kayýt ve yönetim hizmetlerini kullanabilmek için birkaç DCOM arabirimi saðlar. Doðru eriþim bu hizmetlerin kullaným için Sertifika Hizmetleri varsayarak DCOM arabirimi uzaktan etkinleþtirme ve eriþim izinleri'ni etkinleþtirmek için ayarlanýr. Ancak, Windows Server 2003 SP1'e yükselttiðinizde, DCOM varsayýlan güvenlik ayarlarý uygulanýr, bu kayýt emin olmak için bu güvenlik ayarlarýný güncelleþtirmek gerekebilir ve Yönetim Hizmetleri kullanýlabilir.

Varsayýlan olarak, tüm DCOM arabirimi, Windows Server 2003 SP1'de uzaktan eriþim izinleri, uzaktan baþlatma izinleri ve uzaktan etkinleþtirme izni, yöneticilere vermek üzere yapýlandýrýlýr. Ancak, Windows Server 2003 SP1'e yükselttiðinizde, güvenlik yapýlandýrma deðiþiklikleri genel DCOM arabirimi ve CertSrv isteði DCOM arabirimi için yapýlýr. Bu deðiþiklikler, düzgün çalýþabilmesi, Sertifika Hizmetleri saðlamak için yapýlýr.

Not CertSrv isteði DCOM tarafýndan yapýlan deðiþiklikler, güvenlik arabirimi, Windows Server 2003 SP1'i yüklemeden önce ayarlarý kaybolur. Windows Server 2003 SP1 kurulum CertSrv isteði DCOM arabirimindeki tüm önceki güvenlik ayarlarýný varsayýlan ayarlarýna sýfýrlar.

Windows Server 2003 SP1 Kurulum sýrasýnda Sertifika Hizmetleri otomatik olarak güncelleþtirir DCOM güvenlik ayarlarýný aþaðýdaki gibi:

CertSrv isteði DCOM arabirimi
• Everyone güvenlik grubu, yerel ve uzak eriþim izinleri verilir.
• Everyone güvenlik grubu, yerel ve uzak etkinleþtirme izinleri verilir.
• Everyone güvenlik grubuna deðil, yerel veya uzaktan baþlatma izinleri verilmiþ.


• DCOM bilgisayar sýnýrlama ayarlarý
  • Yeni BIR güvenlik grubu CERTSVC_DCOM_ACCESS, otomatik olarak oluþturulur.
    
    Sertifika yetkilisi bir üye sunucuda yüklüyse, CERTSVC_DCOM_ACCESS bilgisayarýn yerel grup olarak oluþturulur. Everyone güvenlik grubu için CERTSVC_DCOM_ACCESS eklenir.
    
    Sertifika yetkilisi bir etki alaný denetleyicisinde yüklüyse, CERTSVC_DCOM_ACCESS etki alaný yerel grubu olarak oluþturulur. Domain Users güvenlik grubunun ve sertifika yetkilisine çubuðundaki etki alanýndaki Domain Computers güvenlik grubu için CERTSVC_DCOM_ACCESS eklenir. Etki alaný denetleyicilerinin Bu arabirimden istemek için sertifika yetkilisine eriþim gerekiyorsa, etki alaný denetleyicilerinin güvenlik grubuna eklemelisiniz. Etki alaný denetleyicilerinin, Domain Computers güvenlik grubunun bir parçasý olmadýðý için bunu yapmanýz gerekir.
  • CERTSVC_DCOM_ACCESS güvenlik grubu, yerel ve uzak eriþim izinleri verilir.
  • CERTSVC_DCOM_ACCESS güvenlik grubu, yerel ve uzak etkinleþtirme izinleri verilir.
  • CERTSVC_DCOM_ACCESS güvenlik grubuna verilen yerel veya uzaktan baþlatma izinlerini deðildir.
  Not Sertifika Hizmetleri, sertifika yetkilisi bir etki alaný denetleyicisinde yüklüyse ve Kurumsal birden çok etki alaný içeriyorsa, sertifika yetkilisinin etki alaný dýþýndaki Kaydolanlarýn DCOM güvenlik ayarlarýný otomatik olarak güncelleþtirilemiyor. Bu nedenle, bu Kaydolanlarýn sertifika yetkilisine kayýt eriþimi engellenecektir.
  
  Bu sorunu gidermek için <a0></a0>, el ile kullanýcýlar için CERTSVC_DCOM_ACCESS eklemelisiniz güvenlik grubu. Bir etki alaný yerel grubu CERTSVC_DCOM_ACCESS güvenlik grubunun olduðu için yalnýzca etki alaný gruplarý ekleyebilirsiniz. Contoso etki alaný olan baþka bir etki alanýndan kullanýcýlarý ve bilgisayarlarý sertifika yetkilisine kaydetmek, örneðin, el ile Contoso\Domain Users grubuna ve Contoso\Domain Computers grubu CERTSVC_DCOM_ACCESS güvenlik grubuna eklemelisiniz.
  
  Windows Server 2003 SP1 yüklendikten sonra sertifika yetkilisi tarafýndan yetkilendirilen herhangi Kaydolanlarýn yetkilendirme reddedildiðini, Sertifika Hizmetleri DCOM güvenlik ayarlarýný yeniden güncelleþtirme olabilir. Bunu yapmak için <a0></a0>, komut isteminde aþaðýdaki komutlarý yazýn ve her komutun ardýndan ENTER tuþuna basýn.
  certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
  net stop certsvc
  net start certsvc
  DCOM_SECURITY_UPDATED_FLAG DCOM güvenlik ayarlarý baþarýyla güncelleþtirildi gösteren bir iç Sertifika Hizmetleri kayýt defteri i?arettir. Sertifika Hizmetleri, hizmetlerinin sertifika her zaman bu bayraðý denetler baþlatýldý. Önceki komutlarý bayraðý sýfýrlama ve sonra durdurmak ve Sertifika Hizmetleri'ni baþlatýn. Bu davranýþ, Sertifika Hizmetleri, DCOM güvenlik ayarlarýný güncelleþtirmek yeniden neden olur.

Windows Server 2003 SP1'i yükledikten sonra aþaðýdaki olay günlüðe kaydedilebilir.

Olay iletisi 1Olay iletisi 2Sertifika ek bileþenini kullanarak sertifika'ni el ile istediðinde, aþaðýdaki hata iletisini alabilirsiniz: Not Sonra etki alaný denetleyicisinde bu hatalar oluþursa Domain Controllers grubuna CERTSVC_DCOM_ACCESS grubuna ekleyin. Etki alaný denetleyicileri, Domain Computers genel grup üyesi olmayan ve yeterli DCOM izinleri varsayýlan olarak sahiptir.

Domain Controllers grubuna eklemek için Grup üyeliði deðiþtirirseniz, deðiþikliði yansýtmak için etki alaný denetleyicisini yeniden baþlatmalýsýnýz.

Microsoft Windows'un x64 tabanlý sürümleri için teknik destek

Donanýmýnýz bir Microsoft Windows x64 sürümü önceden yüklenmiþ olarak geldiyse, Windows x64 sürümüyle ilgili teknik destek ve yardýmý donaným üreticisi saðlar. Bu durumda, donanýmýnýzla birlikte bir Windows x64 sürümü geldiði için, donaným üreticiniz tarafýndan teknik destek saðlanýr. Donaným üreticiniz, Windows x64 sürümü yüklemesini benzersiz bileþenler kullanarak özelleþtirmiþ olabilir. Benzersiz bileþenler donanýmýn performansýný en yüksek düzeye getirmek için özel aygýt sürücüleri veya isteðe baðlý ayarlar içerebilir. Windows x64 sürümünüz için teknik yardýma gereksinim duyarsanýz, Microsoft makul ölçülerde yardým saðlayacaktýr. Ancak, doðrudan üreticinizle iletiþim kurmanýz gerekebilir. Üreticinizin donanýma yüklediði yazýlýmý destekleyecek en nitelikli kaynak yine üreticinizdir. Microsoft Windows Server 2003 x64 gibi bir Windows x64 sürümünü ayrý olarak satýn aldýysanýz, teknik destek için Microsoft'a baþvurun.

Microsoft Windows XP Professional x64 Edition ile ilgili ürün bilgileri için aþaðýdaki Microsoft Web sitesini ziyaret edin: x64 tabalý Microsoft Windows Server 2003 sürümleri hakkýnda ürün bilgisi için, aþaðýdaki Microsoft Web sitesini ziyaret edin: Windows Server 2003 SP1 tarafýndan sunulan DCOM güvenlik geliþtirmeleri hakkýnda daha fazla bilgi için aþaðýdaki Microsoft Web sitesini ziyaret edin: