安装 Windows Server 2003 Service Pack 1 后 DCOM 安全设置的变更说明

文章翻译 文章翻译
文章编号: 903220 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

Microsoft Windows Server 2003 Service Pack 1 (SP1) 为 DCOM 协议引入了一些增强的默认安全设置。Windows Server 2003 SP1 还特别引入了权限机制,授予管理员在本地和远程执行以下操作的独立控制权限:启动 COM 服务器、激活 COM 服务器设置和访问 COM 服务器。本文介绍对 DCOM 安全设置的更改。

更多信息

Windows Server 2003 证书服务使用 DCOM 协议提供注册和管理服务。证书服务提供了多个 DCOM 接口,以使注册和管理服务可用。为了正确访问和使用这些服务,证书服务假定 DCOM 接口设置为启用远程激活和访问权限。但是,在升级到 Windows Server 2003 SP1 时将应用 DCOM 默认安全设置,因此可能必须更新这些安全设置,以确保注册和管理服务可用。

默认情况下,Windows Server 2003 SP1 中的所有 DCOM 接口都配置为授予管理员远程访问权限、远程启动权限和远程激活权限。但是,在升级到 Windows Server 2003 SP1 后,将对全局 DCOM 接口和 CertSrv Request DCOM 接口进行安全配置更改。进行这些更改的目的是为了使证书服务能够正常工作。

注意:安装 Windows Server 2003 SP1 前对 CertSrv Request DCOM 接口安全设置所做的任何更改都会丢失。Windows Server 2003 SP1 安装程序会将 CertSrv Request DCOM 接口中的所有早期安全设置都重置为其默认的设置。

在 Windows Server 2003 SP1 安装过程中,证书服务会自动更新如下 DCOM 安全设置:
    CertSrv Request DCOM 接口
    • 授予 Everyone 安全组本地和远程访问权限。
    • 授予 Everyone 安全组本地和远程激活权限。
    • 不授予 Everyone 安全组本地或远程启动权限。

  • DCOM 计算机限制设置
    • 自动创建新的安全组 CERTSVC_DCOM_ACCESS。

      如果在成员服务器上安装了证书颁发机构,则将 CERTSVC_DCOM_ACCESS 创建为计算机本地组。将 Everyone 安全组添加到 CERTSVC_DCOM_ACCESS。

      如果证书颁发机构安装在域控制器上,则将 CERTSVC_DCOM_ACCESS 创建为域本地组。将证书颁发机构域中的 Domain Users 安全组和 Domain Computers 安全组添加到 CERTSVC_DCOM_ACCESS。如果域控制器需要访问此接口,以从证书颁发机构申请证书,则必须添加 Domain Controllers 安全组。必须执行此操作的原因是域控制器并没有包含在 Domain Computers 安全组中。
    • 授予 CERTSVC_DCOM_ACCESS 安全组本地和远程访问权限。
    • 授予 CERTSVC_DCOM_ACCESS 安全组本地和远程激活权限。
    • 不授予 CERTSVC_DCOM_ACCESS 安全组本地或远程启动权限。
    注意:如果证书颁发机构安装在域控制器上,且企业拥有多个域,则证书服务将不能为证书颁发机构域之外的注册人自动更新 DCOM 安全设置。因此,这些注册人将被拒绝授予对证书颁发机构的注册访问权限。

    要解决此问题,必须将这些用户手动添加到 CERTSVC_DCOM_ACCESS 安全组。由于 CERTSVC_DCOM_ACCESS 安全组是域本地组,因此您只能向它添加域组。例如,如果其他域(如 Contoso 域)的用户和计算机需要在证书颁发机构上进行注册,则必须手动将 Contoso\Domain Users 组和 Contoso\Domain Computers 组添加到 CERTSVC_DCOM_ACCESS 安全组。

    如果在安装 Windows Server 2003 SP1 后有任何注册人应该由证书颁发机构授权但是被拒绝授权,则可以用证书服务再次更新 DCOM 安全设置。为此,请在命令提示符处键入以下命令,并在每行命令后按 Enter。
    certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG 是一个内部证书服务注册表标记,指示 DCOM 安全设置已成功更新。证书服务每次启动时都会检查此标记。上述命令会重置该标记,然后停止并启动证书服务。此行为会导致证书服务再次更新 DCOM 安全设置。
安装 Windows Server 2003 SP1 后可能会记录下列事件。

事件消息 1:
事件类型: 错误
事件来源: AutoEnrollment
事件类别: 无
事件 ID: 13
日期: date
时间: time
用户: N/A
计算机: computer_name
描述: 本地系统的自动证书注册未能完成对某个目录电子邮件复制证书的注册 (0x80070005)。拒绝访问。有关更多信息,请参见位于 http://support.microsoft.com 的“帮助和支持中心”。
事件消息 2:
事件类型: 错误
事件来源: AutoEnrollment
事件类别: 无
事件 ID: 13
日期: date
时间: time
用户: N/A
计算机: computer_name
描述: 本地系统的自动证书注册未能完成对某个工作站身份验证证书的注册 (0x80070005)。拒绝访问。有关更多信息,请参见位于 http://support.microsoft.com 的“帮助和支持中心”。
在使用“证书”管理单元手动申请证书时,可能会收到以下错误消息:
证书请求由于下列情况之一而失败: - 证书请求提交到一个没有启动的证书颁发机构 (CA)。- 您没有权限从可用的 CA 请求证书。
注意:如果这些错误发生在域控制器上,则将 Domain Controllers 组添加到 CERTSVC_DCOM_ACCESS 安全组。域控制器不是 Domain Computers 全局组的成员,默认情况下不具备足够的 DCOM 权限。

如果更改组成员身份以包括 Domain Controllers 组,则必须重新启动域控制器,以反映此更改。

对基于 x64 的 Microsoft Windows 版本的技术支持

如果您的硬件中已装有 Microsoft Windows x64 Edition,那么硬件制造商会针对 Windows x64 Edition 提供技术支持和帮助。在这种情况下,硬件制造商之所以提供此支持,是因为硬件中附带了 Windows x64 Edition。硬件制造商可能使用独特组件自定义了 Windows x64 Edition 安装。独特组件可能包括特定设备驱动程序,或者可能包括用于将硬件性能发挥到极致的可选设置。如果您需要 Windows x64 Edition 的技术帮助,Microsoft 将尽全力提供合理的帮助。但是,您可能必须与制造商直接联系。您的制造商最有资格为安装在您的硬件上的软件提供支持。如果您单独购买了 Windows x64 Edition(如 Microsoft Windows Server 2003 x64 Edition),那么请与 Microsoft 联系以获得技术支持。

有关 Microsoft Windows XP Professional x64 Edition 的产品信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/windowsxp/64bit/default.mspx
有关基于 x64 的 Microsoft Windows Server 2003 版本的产品信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/windowsserver2003/64bit/x64/default.mspx
有关 Windows Server 2003 SP1 引入的 DCOM 安全增强功能的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=zh-cn

属性

文章编号: 903220 - 最后修改: 2007年6月1日 - 修订: 8.5
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
关键字:?
kbhowto kbinfo KB903220
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com