أداة Dcgpofix لا تستعيد إعدادات الأمان في "نهج وحدة تحكم المجال الافتراضي" إلى حالتها الأصلية

ينطبق على: Windows Servers

الأعراض


الوثائق الخاصة بالأداة Dcgpofix.exe غير صحيح إلى أن الأداة دكجبوفيكس إلى استعادة إعدادات الأمان في "نهج وحدة تحكم المجال الافتراضي" إلى نفس الحالة التي كانت عليها مباشرة بعد Dcpromo بنجاح. الأمر ليس كذلك. من الأفضل استخدام أداة Dcgpofix فقط في وحدات سيناريو الاسترداد بعد عطل فادح. تعديل العملية Dcpromo أمان المجال بطريقة تدريجية، استناداً إلى إعدادات الأمان الموجودة على هذا الملقم. لذلك، بعد تشغيل Dcpromo، تعتمد المجموعة النهائية من إعدادات الأمان في "نهج وحدة تحكم المجال الافتراضي" على كل عملية Dcpromo وحالة أمان النظام التي كانت موجودة قبل تشغيل Dcpromo. قبل تشغيل Dcpromo، يمكن تعديل حالة أمان النظام بعدد من الآليات. على سبيل المثال، عندما تقوم بتثبيت بعض التطبيقات على الخادم، قد إجراء تغييرات لحقوق المستخدم التي يتم منحها إلى حسابات المستخدمين المحليين، مثل حساب SUPPORT_388945a0.

السبب


لا تعرف أداة دكجبوفيكس ما أمن تم ضبط في قبل تشغيل Dcpromo الدولة. ولذلك، لا يمكن إرجاع أداة Dcgpofix إعدادات الأمان بدقة الحالة الأصلية. بدلاً من ذلك، أداة دكجبوفيكس يقوم بإعادة إنشاء كائنات "نهج المجموعة" (Gpo) الافتراضي اثنين وإنشاء إعدادات استناداً إلى العمليات التي يتم تنفيذها فقط أثناء Dcpromo. إذا كان لديك تثبيت جديد لنظام التشغيل Microsoft Windows Server 2003 ويتم إجراء أية تغييرات الأمان لنظام التشغيل قبل تشغيل Dcpromo، قمت بإعادة إنشائها "نهج المجال الافتراضي وحدة التحكم" التي تم إنشاؤها بواسطة دكجبوفيكس سيكون تقريبا نفس "المجال الافتراضي" نهج وحدة التحكم فقط بعد تشغيل Dcpromo. ومع ذلك، سيكون هناك بعض الاختلافات في إعدادات نهج وحدة تحكم المجال الافتراضي في هذه الحالة.

الحل


للنسخ الاحتياطي العام واستعادة "نهج المجال الافتراضي" و "نهج وحدة تحكم المجال الافتراضي"، وأيضا لكائنات نهج المجموعة الأخرى، توصي Microsoft باستخدام وحدة تحكم إدارة نهج المجموعة (GPMC) لإنشاء كائن نهج مجموعة النسخ الاحتياطي العادي هذه. يمكنك بعد ذلك استخدام GPMC باﻻقتران مع هذه النسخ الاحتياطية لاستعادة إعدادات الأمان الدقيقة الموجودة في هذه GPOs.For مزيد من المعلومات حول GPMC، بزيارة موقع Microsoft التالي على الويب:إذا كنت في سيناريو استرداد بعد عطل فادح ولم تكن أية إصدارات احتياطياً لنهج المجال الافتراضي أو نهج وحدة تحكم المجال الافتراضي، يمكنك استخدام أداة دكجبوفيكس. إذا كنت تستخدم أداة دكجبوفيكس، توصي Microsoft بمجرد تشغيلها، مراجعة إعدادات الأمان في كائنات نهج المجموعة هذه وضبط إعدادات الأمان ليناسب المتطلبات الخاصة بك يدوياً. إصلاح ليس من المخطط أن يفرج عنها لأن توصي Microsoft باستخدام GPMC لإجراء نسخ احتياطي واستعادة كافة كائنات نهج المجموعة في البيئة الخاصة بك. أداة دكجبوفيكس هي أداة استرداد الحالات المستعصية التي سيتم استعادة البيئة إلى حالة الفنية فقط. فمن الأفضل عدم استخدامه كبديل لاستراتيجية النسخ احتياطي باستخدام GPMC. من الأفضل استخدام أداة Dcgpofix فقط عندما GPO "نهج المجال الافتراضي" مرة أخرى ولا يوجد "نهج وحدة تحكم المجال الافتراضي".

مزيد من المعلومات


يسرد الجدول التالي الاختلافات في إعدادات الأمان في "نهج وحدة تحكم المجال الافتراضي" بعد تشغيل الأداة دكجبوفيكس والإعدادات على تثبيت جديد من Windows Server 2003 بعد تشغيل Dcpromo. توصي Microsoft بضبط إعدادات الأمان هذه لمطابقة المتطلبات في البيئة الخاصة بك بعد تشغيل أداة Dcgpofix.
إعداد نهج وحدة تحكم المجال الافتراضيالقيمة بعد تشغيل DCPromo على وضوح تثبيت نظام Windows Server 2003القيمة بعد تشغيل دكجبوفيكس
إعدادات التدقيق
تدوين إدارة الحساباتالنجاحعدم التدوين
تدقيق الوصول إلى خدمة الدليلالنجاحعدم التدوين
تدقيق تغيير النهجالنجاحعدم التدوين
تدقيق أحداث النظامالنجاحعدم التدوين
حقوق المستخدم
إنشاء كائنات عموميةغير معرفخدمة المسؤولين
رفض الوصول إلى الكمبيوتر من شبكة الاتصالSUPPORT_388945a0(فارغ)
رفض تسجيل الدخول محلياًSUPPORT_388945a0(فارغ)
انتحال شخصية عميل بعد المصادقةغير معرفخدمة المسؤولين
تحميل وإلغاء تحميل برامج تشغيل الأجهزةالمسؤولين، عوامل تشغيل الطباعةAdministrators
تسجيل الدخول كمهمة دفعيةخدمة محلية، SUPPORT_388945a0(فارغ)
قم بتسجيل الدخول كخدمةخدمة الشبكة(فارغ)
إيقاف تشغيل النظامطباعة المسؤولين، أو Backup Operators، مشغلي، عوامل التشغيلحساب عوامل المسؤولين الإداريين وعوامل تشغيل النسخ الاحتياطي ومشغلي، عوامل تشغيل الطباعة
سيتم تغيير الإعدادات التالية بعد تشغيل أداة Dcgpofix:
  • أوديتاككونتماناجي
  • أوديتدساكسيس
  • أوديتبوليسيتشانجي
  • أوديتسيستيميفينتس
  • سيكريتيجلوبالبريفيليجي
  • سيمبيرسوناتيبريفيليجي
  • سيلوادريفيربريفيليجي
  • سيشوتدوونبريفيليجي
استناداً إلى خيارات تكوين الإعدادات التالية قد أيضا تغيير ما يلي:
  • سيباتشلوجونريت (فقط "خدمة محلية"، لا حساب SUPPORT_388945a0)
  • سيسيرفيسيلوجونريت