Windows Server 2003 Service Pack 1'i yükledikten sonra DCOM güvenlik ayarlarındaki değişiklikler açıklaması

Makale çevirileri Makale çevirileri
Makale numarası: 903220 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Giriş

Microsoft Windows Server 2003 Service Pack 1 (SP1), DCOM iletişim kuralı için bazı geliştirilmiş varsayılan güvenlik ayarları tanıtır. Özellikle, Windows Server 2003 SP1, bağımsız denetim üzerinden yerel ve uzak yönetici vermek hakları tanıtır COM sunucuları başlatma, COM sunucusu ayarlarını etkinleştirme ve COM erişim izinleri sunucuları. Bu makalede, DCOM güvenlik ayarlarında yapılan değişiklikleri açıklar.

Daha fazla bilgi

Windows Server 2003 Sertifika Hizmetleri, kayıt ve yönetim hizmetleri sağlamak için DCOM iletişim kuralı kullanır. Sertifika Hizmetleri, kayıt ve yönetim hizmetlerini kullanabilmek için birkaç DCOM arabirimi sağlar. Doğru erişim bu hizmetlerin kullanım için Sertifika Hizmetleri varsayarak DCOM arabirimi uzaktan etkinleştirme ve erişim izinleri'ni etkinleştirmek için ayarlanır. Ancak, Windows Server 2003 SP1'e yükselttiğinizde, DCOM varsayılan güvenlik ayarları uygulanır, bu kayıt emin olmak için bu güvenlik ayarlarını güncelleştirmek gerekebilir ve Yönetim Hizmetleri kullanılabilir.

Varsayılan olarak, tüm DCOM arabirimi, Windows Server 2003 SP1'de uzaktan erişim izinleri, uzaktan başlatma izinleri ve uzaktan etkinleştirme izni, yöneticilere vermek üzere yapılandırılır. Ancak, Windows Server 2003 SP1'e yükselttiğinizde, güvenlik yapılandırma değişiklikleri genel DCOM arabirimi ve CertSrv isteği DCOM arabirimi için yapılır. Bu değişiklikler, düzgün çalışabilmesi, Sertifika Hizmetleri sağlamak için yapılır.

Not CertSrv isteği DCOM tarafından yapılan değişiklikler, güvenlik arabirimi, Windows Server 2003 SP1'i yüklemeden önce ayarları kaybolur. Windows Server 2003 SP1 kurulum CertSrv isteği DCOM arabirimindeki tüm önceki güvenlik ayarlarını varsayılan ayarlarına sıfırlar.

Windows Server 2003 SP1 Kurulum sırasında Sertifika Hizmetleri otomatik olarak güncelleştirir DCOM güvenlik ayarlarını aşağıdaki gibi:
    CertSrv isteği DCOM arabirimi
    • Everyone güvenlik grubu, yerel ve uzak erişim izinleri verilir.
    • Everyone güvenlik grubu, yerel ve uzak etkinleştirme izinleri verilir.
    • Everyone güvenlik grubuna değil, yerel veya uzaktan başlatma izinleri verilmiş.

  • DCOM bilgisayar sınırlama ayarları
    • Yeni BIR güvenlik grubu CERTSVC_DCOM_ACCESS, otomatik olarak oluşturulur.

      Sertifika yetkilisi bir üye sunucuda yüklüyse, CERTSVC_DCOM_ACCESS bilgisayarın yerel grup olarak oluşturulur. Everyone güvenlik grubu için CERTSVC_DCOM_ACCESS eklenir.

      Sertifika yetkilisi bir etki alanı denetleyicisinde yüklüyse, CERTSVC_DCOM_ACCESS etki alanı yerel grubu olarak oluşturulur. Domain Users güvenlik grubunun ve sertifika yetkilisine çubuğundaki etki alanındaki Domain Computers güvenlik grubu için CERTSVC_DCOM_ACCESS eklenir. Etki alanı denetleyicilerinin Bu arabirimden istemek için sertifika yetkilisine erişim gerekiyorsa, etki alanı denetleyicilerinin güvenlik grubuna eklemelisiniz. Etki alanı denetleyicilerinin, Domain Computers güvenlik grubunun bir parçası olmadığı için bunu yapmanız gerekir.
    • CERTSVC_DCOM_ACCESS güvenlik grubu, yerel ve uzak erişim izinleri verilir.
    • CERTSVC_DCOM_ACCESS güvenlik grubu, yerel ve uzak etkinleştirme izinleri verilir.
    • CERTSVC_DCOM_ACCESS güvenlik grubuna verilen yerel veya uzaktan başlatma izinlerini değildir.
    Not Sertifika Hizmetleri, sertifika yetkilisi bir etki alanı denetleyicisinde yüklüyse ve Kurumsal birden çok etki alanı içeriyorsa, sertifika yetkilisinin etki alanı dışındaki Kaydolanların DCOM güvenlik ayarlarını otomatik olarak güncelleştirilemiyor. Bu nedenle, bu Kaydolanların sertifika yetkilisine kayıt erişimi engellenecektir.

    Bu sorunu gidermek için <a0></a0>, el ile kullanıcılar için CERTSVC_DCOM_ACCESS eklemelisiniz güvenlik grubu. Bir etki alanı yerel grubu CERTSVC_DCOM_ACCESS güvenlik grubunun olduğu için yalnızca etki alanı grupları ekleyebilirsiniz. Contoso etki alanı olan başka bir etki alanından kullanıcıları ve bilgisayarları sertifika yetkilisine kaydetmek, örneğin, el ile Contoso\Domain Users grubuna ve Contoso\Domain Computers grubu CERTSVC_DCOM_ACCESS güvenlik grubuna eklemelisiniz.

    Windows Server 2003 SP1 yüklendikten sonra sertifika yetkilisi tarafından yetkilendirilen herhangi Kaydolanların yetkilendirme reddedildiğini, Sertifika Hizmetleri DCOM güvenlik ayarlarını yeniden güncelleştirme olabilir. Bunu yapmak için <a0></a0>, komut isteminde aşağıdaki komutları yazın ve her komutun ardından ENTER tuşuna basın.
    certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG DCOM güvenlik ayarları başarıyla güncelleştirildi gösteren bir iç Sertifika Hizmetleri kayıt defteri i?arettir. Sertifika Hizmetleri, hizmetlerinin sertifika her zaman bu bayrağı denetler başlatıldı. Önceki komutları bayrağı sıfırlama ve sonra durdurmak ve Sertifika Hizmetleri'ni başlatın. Bu davranış, Sertifika Hizmetleri, DCOM güvenlik ayarlarını güncelleştirmek yeniden neden olur.
Windows Server 2003 SP1'i yükledikten sonra aşağıdaki olay günlüğe kaydedilebilir.

Olay iletisi 1
Olay türü: hata
Olay kaynağı: otomatik kayıt
Olay kategorisi: yok
Olay KIMLIĞI: 13
Tarih: date
time zaman:
Kullanı.: Yok
computer_name bilgisayar:
Açıklama: Bir dizin e-posta yineleme sertifikası (0x80070005) kaydetmek yerel sistem için otomatik sertifika kaydı başarısız oldu. Erişim reddedildi. Daha fazla bilgi için, http://support.microsoft.com adresindeki Yardım ve Destek Merkezi'ne bakın.
Olay iletisi 2
Olay türü: hata
Olay kaynağı: otomatik kayıt
Olay kategorisi: yok
Olay KIMLIĞI: 13
Tarih: date
time zaman:
Kullanı.: Yok
computer_name bilgisayar:
Açıklama: Bir iş istasyonu kimlik doğrulama sertifikası (0x80070005) için kaydolması yerel sistem için otomatik sertifika kaydı başarısız oldu. Erişim reddedildi. Daha fazla bilgi için, http://support.microsoft.com adresindeki Yardım ve Destek Merkezi'ne bakın.
Sertifika ek bileşenini kullanarak sertifika'ni el ile istediğinde, aşağıdaki hata iletisini alabilirsiniz:
Sertifika isteği aşağıdaki koşullardan biri nedeniyle başarısız oldu:-sertifika isteği, bir sertifika yetkilisi (başlatılmazsa, CA) gönderildi. -Istemek için kullanılabilir CA'lardan izniniz yok.
Not Sonra etki alanı denetleyicisinde bu hatalar oluşursa Domain Controllers grubuna CERTSVC_DCOM_ACCESS grubuna ekleyin. Etki alanı denetleyicileri, Domain Computers genel grup üyesi olmayan ve yeterli DCOM izinleri varsayılan olarak sahiptir.

Domain Controllers grubuna eklemek için Grup üyeliği değiştirirseniz, değişikliği yansıtmak için etki alanı denetleyicisini yeniden başlatmalısınız.

Microsoft Windows'un x64 tabanlı sürümleri için teknik destek

Donanımınız bir Microsoft Windows x64 sürümü önceden yüklenmiş olarak geldiyse, Windows x64 sürümüyle ilgili teknik destek ve yardımı donanım üreticisi sağlar. Bu durumda, donanımınızla birlikte bir Windows x64 sürümü geldiği için, donanım üreticiniz tarafından teknik destek sağlanır. Donanım üreticiniz, Windows x64 sürümü yüklemesini benzersiz bileşenler kullanarak özelleştirmiş olabilir. Benzersiz bileşenler donanımın performansını en yüksek düzeye getirmek için özel aygıt sürücüleri veya isteğe bağlı ayarlar içerebilir. Windows x64 sürümünüz için teknik yardıma gereksinim duyarsanız, Microsoft makul ölçülerde yardım sağlayacaktır. Ancak, doğrudan üreticinizle iletişim kurmanız gerekebilir. Üreticinizin donanıma yüklediği yazılımı destekleyecek en nitelikli kaynak yine üreticinizdir. Microsoft Windows Server 2003 x64 gibi bir Windows x64 sürümünü ayrı olarak satın aldıysanız, teknik destek için Microsoft'a başvurun.

Microsoft Windows XP Professional x64 Edition ile ilgili ürün bilgileri için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/windowsxp/64bit/default.mspx
x64 tabalı Microsoft Windows Server 2003 sürümleri hakkında ürün bilgisi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx
Windows Server 2003 SP1 tarafından sunulan DCOM güvenlik geliştirmeleri hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=en

Özellikler

Makale numarası: 903220 - Last Review: 11 Ekim 2007 Perşembe - Gözden geçirme: 8.5
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Anahtar Kelimeler: 
kbmt kbhowto kbinfo KB903220 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:903220

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com