Popis změn nastavení zabezpečení DCOM po instalaci Windows Server 2003 Service Pack 1

ÚVOD

Microsoft Windows Server 2003 Service Pack 1 (SP1) přináší některé vylepšené výchozí nastavení zabezpečení pro protokol DCOM. Konkrétně aktualizace Windows Server 2003 SP1 zavádí práva udělit správce nezávislých kontrolu nad místní a vzdálené oprávnění pro spuštění servery COM, aktivace nastavení serveru COM a COM servery přístupu. Tento článek popisuje změny nastavení zabezpečení DCOM.

Další informace

Certifikační služby systému Windows Server 2003 používá protokol DCOM zápis a správu služby. Služba Certificate services poskytuje několik rozhraní DCOM zpřístupnit zápis a správu služby. Pro správný přístup a použití těchto služeb služby certificate services předpokládá, že rozhraní modelu DCOM je nastavena povolit vzdálené aktivaci a přístup oprávnění. Protože výchozí nastavení zabezpečení pro DCOM jsou použity při upgradu na systém Windows Server 2003 SP1, bude pravděpodobně nutné aktualizovat nastavení zabezpečení a ujistěte se, že zápis a správu služby jsou k dispozici.

Standardně jsou všechna rozhraní DCOM v systému Windows Server 2003 SP1 nakonfigurována udělit oprávnění ke vzdálenému přístupu, vzdálené spouštěcí oprávnění a vzdálené aktivace oprávnění pro správce. Však při upgradu na systém Windows Server 2003 SP1 zabezpečení provedeny změny konfigurace jsou globální rozhraní DCOM a rozhraní DCOM CertSrv požadavku. Tyto změny provedeny povolit Certifikační služba pracovat správně.

Poznámka: Všechny změny provedené CertSrv požadavku DCOM rozhraní zabezpečení nastavení před instalací systému Windows Server 2003 SP1 budou ztraceny. Instalace systému Windows Server 2003 SP1 obnoví všechna předchozí nastavení zabezpečení v rozhraní DCOM CertSrv požadavku na jejich výchozí nastavení.

Během instalace systému Windows Server 2003 SP1 certifikační služby automaticky aktualizuje nastavení zabezpečení modelu DCOM takto:
  • Rozhraní DCOM CertSrv požadavku
    • Everyone skupinu zabezpečení udělena oprávnění místní a vzdálený přístup.
    • Everyone skupinu zabezpečení udělena oprávnění místní a vzdálené aktivace.
    • Everyone skupinu zabezpečení není uděleno oprávnění místní nebo vzdálené spuštění.
  • Nastavení omezení počítače DCOM
    • Nové skupiny zabezpečení CERTSVC_DCOM_ACCESS, je automaticky vytvořen.

      Pokud certifikační úřad je nainstalován na členském serveru, CERTSVC_DCOM_ACCESS je vytvořena jako místní skupinu počítače. Všichni je přidána skupina zabezpečení k CERTSVC_DCOM_ACCESS.

      Pokud je certifikační úřad nainstalován v řadiči domény, je CERTSVC_DCOM_ACCESS vytvořena jako místní skupina domény. Skupiny zabezpečení Domain Users a skupiny zabezpečení Domain Computers z certifikačního úřadu domény jsou přidány do CERTSVC_DCOM_ACCESS. Pokud řadiče domény potřebují přístup k tomuto rozhraní vyžádat certifikáty od certifikačního úřadu, je nutné přidat skupinu zabezpečení řadiče domény. Je nutné provést, protože řadiče domény nejsou součástí skupiny zabezpečení Domain Computers.
    • Skupiny zabezpečení CERTSVC_DCOM_ACCESS udělena oprávnění místního a vzdáleného přístupu.
    • Skupiny zabezpečení CERTSVC_DCOM_ACCESS udělena oprávnění místní a vzdálené aktivace.
    • Skupiny zabezpečení CERTSVC_DCOM_ACCESS není uděleno oprávnění místní nebo vzdálené spuštění.
    Poznámka: Pokud je certifikační úřad nainstalován v řadiči domény a rozlehlé sítě se skládá z více než jednu doménu, nelze certifikační služby automaticky aktualizovat nastavení zabezpečení DCOM pro žadatelé z mimo doménu certifikačního úřadu. Tyto žadatelé tedy bude odepřen přístup pro zápis k certifikačnímu úřadu.

    Chcete-li tento problém vyřešit, je třeba ručně přidat uživatele do skupiny zabezpečení CERTSVC_DCOM_ACCESS. Vzhledem k tomu, že je skupina zabezpečení CERTSVC_DCOM_ACCESS místní skupiny domény, můžete přidat pouze skupiny domény k němu. Například pokud uživatelů a počítačů z jiné domény, domény Contoso zapsat certifikačního úřadu, je třeba ručně přidat skupiny Contoso\Domain Users a skupiny Contoso\Domain Computers do skupiny zabezpečení CERTSVC_DCOM_ACCESS.

    Pokud žádné žadatelé, které by mělo být povoleno certifikační autoritou byl odepřen autorizace po instalaci aktualizace Windows Server 2003 SP1, můžete mít certifikát služby znovu aktualizovat nastavení zabezpečení DCOM. To provedete na příkazovém řádku zadejte následující příkazy a po každém příkazu stiskněte klávesu ENTER.
    certutil-setreg SetupStatus – SETUP_DCOM_SECURITY_UPDATED_FLAG
    příkaz net stop certsvc
    příkaz net start certsvc
    DCOM_SECURITY_UPDATED_FLAG je vnitřní certifikát služby registru příznak, který označuje nastavení zabezpečení modelu DCOM byly úspěšně aktualizovány. Certifikát služby zkontroluje tento příznak každém, Certifikační služba je spuštěna. Předešlé příkazy obnovit příznak a poté zastavit a spustit službu certificate services. Toto chování způsobí, že certifikát služby znovu aktualizovat nastavení zabezpečení DCOM.
Po instalaci aktualizace Windows Server 2003 SP1, mohou být zaznamenány následující události.

Zpráva o události 1
Typ události: Chyba
Zdroj události: automatický zápis
Kategorie události: žádný
ID události: 13
Datum: Datum
Čas: čas
Uživatel: N/A
Počítač: název_počítače
Popis: Automatický zápis certifikátů pro místní systém se nezdařilo zapsat jeden certifikát replikace adresáře e-mailem (0x80070005). Přístup byl odepřen. Další informace naleznete v tématu Nápověda a odborná pomoc na http://support.microsoft.com.
Zpráva události 2
Typ události: Chyba
Zdroj události: automatický zápis
Kategorie události: žádný
ID události: 13
Datum: Datum
Čas: čas
Uživatel: N/A
Počítač: název_počítače
Popis: Automatický zápis certifikátů pro místní systém se nezdařilo zapsat jeden certifikát ověření pracovní stanice (0x80070005). Přístup byl odepřen. Další informace naleznete v tématu Nápověda a odborná pomoc na http://support.microsoft.com.
Při ruční vyžádání certifikátu pomocí modulu snap-in certifikátu, může se zobrazit následující chybová zpráva:
Žádost o certifikát se nezdařila z jednoho z následujících podmínek:-požadavek na certifikát byl odeslán do certifikačního úřadu (CÚ), který není spuštěn. -Nemáte oprávnění k žádosti o certifikáty ze dostupné CÚ.
Poznámka: Pokud dojde k těmto chybám v řadiči domény, přidejte skupina Domain Controllers skupiny CERTSVC_DCOM_ACCESS. Řadiče domény nejsou členy globální skupiny Domain Computers a ve výchozím nastavení nebude mít dostatečná oprávnění DCOM.

Při změně členství ve skupině zahrnout skupiny řadiče domény, je nutné restartovat řadič domény tak, aby odrážely změny.

Technická podpora pro verze systému Microsoft Windows x64

Pokud byl hardware dodán s Microsoft Windows x64 edition, již nainstalována, výrobce hardwaru poskytuje technickou podporu a odbornou pomoc pro systém Windows x64 edition. V tomto případě výrobce hardwaru poskytuje podporu proto Windows x64 edition byl zahrnut v dodaném hardwaru. Výrobce hardwaru mohl upravit instalaci systému Windows x64 edition pomocí jedinečných součástí. Jedinečné součásti může zahrnout specifické ovladače zařízení a volitelná nastavení, aby maximalizoval výkon hardwaru. Společnost Microsoft bude vyvíjet přiměřené úsilí, jestliže potřebujete technickou pomoc k systému Windows x64 edition. Však bude pravděpodobně nutné obrátit přímo na výrobce. Výrobce je tím nejkvalifikovanějším pro poskytnutí podpory k softwaru, který instaloval na hardware. Pokud jste zakoupili samostatně Windows x64 edition, jako je například Microsoft Windows Server 2003 x64 edition, poskytne technickou podporu společnosti Microsoft.

Informace o systému Microsoft Windows XP Professional x64 Edition naleznete na následujícím webu společnosti Microsoft:Informace o x64 verze systému Microsoft Windows Server 2003 naleznete na následujícím webu společnosti Microsoft:Další informace o rozšíření zabezpečení DCOM, které jsou zavedeny Windows Server 2003 SP1 naleznete na následujícím webu společnosti Microsoft:
Vlastnosti

ID článku: 903220 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor