安装 Windows Server 2003 Service Pack 1 后 DCOM 安全设置的变更说明

Microsoft Windows Server 2003 Service Pack 1 (SP1) 为 DCOM 协议引入了一些增强的默认安全设置。Windows Server 2003 SP1 还特别引入了权限机制，授予管理员在本地和远程执行以下操作的独立控制权限：启动 COM 服务器、激活 COM 服务器设置和访问 COM 服务器。本文介绍对 DCOM 安全设置的更改。

Windows Server 2003 证书服务使用 DCOM 协议提供注册和管理服务。证书服务提供了多个 DCOM 接口，以使注册和管理服务可用。为了正确访问和使用这些服务，证书服务假定 DCOM 接口设置为启用远程激活和访问权限。但是，在升级到 Windows Server 2003 SP1 时将应用 DCOM 默认安全设置，因此可能必须更新这些安全设置，以确保注册和管理服务可用。

默认情况下，Windows Server 2003 SP1 中的所有 DCOM 接口都配置为授予管理员远程访问权限、远程启动权限和远程激活权限。但是，在升级到 Windows Server 2003 SP1 后，将对全局 DCOM 接口和 CertSrv Request DCOM 接口进行安全配置更改。进行这些更改的目的是为了使证书服务能够正常工作。

注意：安装 Windows Server 2003 SP1 前对 CertSrv Request DCOM 接口安全设置所做的任何更改都会丢失。Windows Server 2003 SP1 安装程序会将 CertSrv Request DCOM 接口中的所有早期安全设置都重置为其默认的设置。

在 Windows Server 2003 SP1 安装过程中，证书服务会自动更新如下 DCOM 安全设置：

CertSrv Request DCOM 接口
• 授予 Everyone 安全组本地和远程访问权限。
• 授予 Everyone 安全组本地和远程激活权限。
• 不授予 Everyone 安全组本地或远程启动权限。


• DCOM 计算机限制设置
  • 自动创建新的安全组 CERTSVC_DCOM_ACCESS。
    
    如果在成员服务器上安装了证书颁发机构，则将 CERTSVC_DCOM_ACCESS 创建为计算机本地组。将 Everyone 安全组添加到 CERTSVC_DCOM_ACCESS。
    
    如果证书颁发机构安装在域控制器上，则将 CERTSVC_DCOM_ACCESS 创建为域本地组。将证书颁发机构域中的 Domain Users 安全组和 Domain Computers 安全组添加到 CERTSVC_DCOM_ACCESS。如果域控制器需要访问此接口，以从证书颁发机构申请证书，则必须添加 Domain Controllers 安全组。必须执行此操作的原因是域控制器并没有包含在 Domain Computers 安全组中。
  • 授予 CERTSVC_DCOM_ACCESS 安全组本地和远程访问权限。
  • 授予 CERTSVC_DCOM_ACCESS 安全组本地和远程激活权限。
  • 不授予 CERTSVC_DCOM_ACCESS 安全组本地或远程启动权限。
  注意：如果证书颁发机构安装在域控制器上，且企业拥有多个域，则证书服务将不能为证书颁发机构域之外的注册人自动更新 DCOM 安全设置。因此，这些注册人将被拒绝授予对证书颁发机构的注册访问权限。
  
  要解决此问题，必须将这些用户手动添加到 CERTSVC_DCOM_ACCESS 安全组。由于 CERTSVC_DCOM_ACCESS 安全组是域本地组，因此您只能向它添加域组。例如，如果其他域（如 Contoso 域）的用户和计算机需要在证书颁发机构上进行注册，则必须手动将 Contoso\Domain Users 组和 Contoso\Domain Computers 组添加到 CERTSVC_DCOM_ACCESS 安全组。
  
  如果在安装 Windows Server 2003 SP1 后有任何注册人应该由证书颁发机构授权但是被拒绝授权，则可以用证书服务再次更新 DCOM 安全设置。为此，请在命令提示符处键入以下命令，并在每行命令后按 Enter。
  certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
  net stop certsvc
  net start certsvc
  DCOM_SECURITY_UPDATED_FLAG 是一个内部证书服务注册表标记，指示 DCOM 安全设置已成功更新。证书服务每次启动时都会检查此标记。上述命令会重置该标记，然后停止并启动证书服务。此行为会导致证书服务再次更新 DCOM 安全设置。

安装 Windows Server 2003 SP1 后可能会记录下列事件。

事件消息 1：事件消息 2：在使用“证书”管理单元手动申请证书时，可能会收到以下错误消息：注意：如果这些错误发生在域控制器上，则将 Domain Controllers 组添加到 CERTSVC_DCOM_ACCESS 安全组。域控制器不是 Domain Computers 全局组的成员，默认情况下不具备足够的 DCOM 权限。

如果更改组成员身份以包括 Domain Controllers 组，则必须重新启动域控制器，以反映此更改。

对基于 x64 的 Microsoft Windows 版本的技术支持

如果您的硬件中已装有 Microsoft Windows x64 Edition，那么硬件制造商会针对 Windows x64 Edition 提供技术支持和帮助。在这种情况下，硬件制造商之所以提供此支持，是因为硬件中附带了 Windows x64 Edition。硬件制造商可能使用独特组件自定义了 Windows x64 Edition 安装。独特组件可能包括特定设备驱动程序，或者可能包括用于将硬件性能发挥到极致的可选设置。如果您需要 Windows x64 Edition 的技术帮助，Microsoft 将尽全力提供合理的帮助。但是，您可能必须与制造商直接联系。您的制造商最有资格为安装在您的硬件上的软件提供支持。如果您单独购买了 Windows x64 Edition（如 Microsoft Windows Server 2003 x64 Edition），那么请与 Microsoft 联系以获得技术支持。

有关 Microsoft Windows XP Professional x64 Edition 的产品信息，请访问下面的 Microsoft 网站：有关基于 x64 的 Microsoft Windows Server 2003 版本的产品信息，请访问下面的 Microsoft 网站：有关 Windows Server 2003 SP1 引入的 DCOM 安全增强功能的更多信息，请访问下面的 Microsoft 网站：