Dcgpofix инструментът не възстановява настройките за сигурност по подразбиране правило за домейнов контролер към първоначалното им състояние

Прилага се за: Windows Servers

Симптоми


Документацията на инструмента Dcgpofix.exe неправилно показва инструмента Dcgpofix ще възстанови настройките по подразбиране правило за домейнов контролер в същото състояние, че ги веднага след Dcpromo завърши успешно. Това не е така. Това е най-добре да използвате инструмента Dcgpofix само при аварийно възстановяване сценарии. Dcpromo операция променя сигурността на домейна постепенно начин, въз основа на наличните настройки за защита на сървъра. Затова след като пуснете Dcpromo, последен набор от настройките за сигурност по подразбиране правило за домейнов контролер зависи от операцията Dcpromo и състоянието на защитата на системата, които са съществували преди да използвате Dcpromo. Преди да стартирате Dcpromo, състоянието на защитата на системата може да бъде променен от множество механизми. Например когато инсталирате някои сървърни приложения, може да се промени на потребителски права, предоставени на локални потребителски акаунти, като например SUPPORT_388945a0 акаунт.

Причина


Инструмент за Dcgpofix не знам какво настройки са били в преди да изпълните Dcpromo защитата. Затова Dcgpofix инструмент не може да върне настройките за защита точно първоначалното състояние. Вместо това инструмента Dcgpofix пресъздава две по подразбиране обекти с групови правила (GPO) и създава въз основа на операциите, които се изпълняват само по време на Dcpromo настройки. Ако имате нова инсталация на Microsoft Windows Server 2003 и не сигурност се промени на операционната система преди да стартирате Dcpromo, пресъздадени по подразбиране правило за домейнов контролер, който е създаден от Dcgpofix ще бъде почти същата като домейн по подразбиране Контролер правила само след като изпълните Dcpromo. Въпреки това ще има някои разлики в настройките по подразбиране правило за домейнов контролер в този случай.

Решение


За обща архивиране и възстановяване на правило за домейн по подразбиране и по подразбиране правило за домейнов контролер, както и за други GPO Microsoft препоръчва да използвате Management Console (ГРУПОВИ правила) за създаване на редовно архивиране на тези GPO. Можете да използвате групови правила във връзка с тези резервни копия, за да възстановите точното настройките, които се съдържат в тези GPOs.For повече информация за групови правила, посетете следния уеб сайт на Microsoft:Ако сте в сценарий за аварийно възстановяване и нямате никакви архивирани версии на правило за домейн по подразбиране или по подразбиране правило за домейнов контролер, можете да използвате инструмента Dcgpofix. Ако използвате инструмент за Dcgpofix, Microsoft препоръчва веднага след като я стартирате, да прегледате настройките за защита в тези GPO и ръчно променете настройките за защита да отговарят на вашите изисквания. Решение не се планира да бъде освободена, защото Microsoft препоръчва да използвате групови правила за архивиране и възстановяване на всички GPO във вашата среда. Инструментът Dcgpofix е аварийно възстановяване инструмент, който ще възстанови вашата среда само функционално състояние. Това е да не го използвате като заместител за стратегия използване на групови правила. Най-добре да използвате инструмента Dcgpofix само когато GPO резервно копие на правило за домейн по подразбиране и по подразбиране правило за домейн контролера не съществува.

Повече информация


Следната таблица изброява разлики в настройките за сигурност по подразбиране правило за домейнов контролер, след като изпълните инструмента Dcgpofix и настройките на нова инсталация на Windows Server 2003, след като изпълните Dcpromo. Microsoft препоръчва, да промените настройките за защита да отговарят на изискванията във вашата среда, след като изпълните инструмента Dcgpofix.
Настройката по подразбиране правило за домейнов контролерСтойност след DCPromo на чисто инсталиране на Windows Server 2003 системаСтойност след пускането на DCGPOFIX
Настройки за проверка
Управление на акаунти за проверкаУспехНе проверяване
Проверка на достъп до справочни услугиУспехНе проверяване
Промяна на правилата за проверкаУспехНе проверяване
Проверка на системните събитияУспехНе проверяване
Потребителски права
Създаване на глобални обектиНе е дефиниранУСЛУГАТА за управление
Отказва достъп до компютър от мрежатаSUPPORT_388945a0(Празно)
Отказване на локално влизанеSUPPORT_388945a0(Празно)
Представяне на клиент след удостоверяванеНе е дефиниранУСЛУГАТА за управление
Натоварване и разтоварване на драйвериАдминистраторите, печат операториАдминистратори
Влезте като пакетно заданиеЛОКАЛНА услуга, SUPPORT_388945a0(Празно)
Влизане като услугаМРЕЖОВА УСЛУГА(Празно)
Изключване на систематаАдминистраторите, архивиране оператори, оператори на сървъри за печат операториСметка оператори, администратори, архивиране оператори, оператори на сървъри, печат оператори
Следните настройки ще се промени, след като изпълните инструмента Dcgpofix:
  • AuditAccountManage
  • AuditDSAccess
  • AuditPolicyChange
  • AuditSystemEvents
  • SeCreateGlobalPrivilege
  • SeImpersonatePrivilege
  • SeLoadDriverPrivilege
  • SeShutdownPrivilege
Въз основа на опции за конфигуриране, следните настройки може да промени следното:
  • SeBatchLogonRight (само локална услуга, не SUPPORT_388945a0 акаунт)
  • SeServiceLogonRight