Zum Ändern der Standardberechtigungen für Gruppenrichtlinienobjekte in Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 und Windows 2000 Server

Zusammenfassung

Sie möchten Sicherheit auf Gruppenrichtlinienobjekte (GPOs) zu allen vertrauenswürdigen Gruppe von Administratoren Gruppenrichtlinien ändern. Sie können dazu das Attribut DefaultSecurityDescriptor Container ClassScema Gruppenrichtlinienobjekt ändern. Allerdings wirkt sich die Änderung nur neu erstellten Gruppenrichtlinienobjekte. Für vorhandene Gruppenrichtlinienobjekte können Sie Berechtigungen direkt auf der Gruppenrichtliniencontainer (CN = {GPO_GUID}, CN = System, DC = Domäne...) und Gruppenrichtlinien-Vorlage (\\domain\SYSVOL\Policies\{GPO_GUID}). Dieses Verfahren kann auch verhindern administrative Vorlagen (ADM-Dateien) in die Gruppenrichtlinienvorlagen versehentlich von ADM-Dateien auf nicht verwalteten Arbeitsstationen aktualisiert.

Weitere Informationen

Beim Erstellen ein neues Active Directory-Objekt werden im DefaultSecurityDescriptor -Attribut des ClassSchema-Objekts im Schema angegebenen Berechtigungen zugewiesen. Deshalb beim Erstellen ein Gruppenrichtlinienobjekts die Objekts GroupPolicyContainer empfängt ACL DefaultSecurityDescriptor Attribut in die CN--Gruppenrichtliniencontainer, CN = Schema, CN = Configuration, DC = Forestroot... = Objekt. Gruppenrichtlinien-Editor gilt diese Berechtigungen auch für Ordner, Unterordner und Dateien in der Gruppenrichtlinien-Vorlage (SYSVOL\Policies\ {GPO_GUID}).

Folgendermaßen können zum Ändern des Attributs DefaultSecurityDescriptor Gruppenrichtliniencontainer ClassSchema -Objekts. Beachten Sie, dass dies einer Änderung des Schemas ist eine vollständige Replikation für alle globalen Kataloge in der Gesamtstruktur starten. Schemaberechtigungen werden mithilfe von SDDL Security Descriptor Definition Language () geschrieben. Weitere Informationen zu SDDL finden Sie auf der folgenden Microsoft-Website:

DefaultSecurityDescriptor Attribut Gruppenrichtliniencontainer ClassSchema -Objekts zu ändern:

  1. Melden Sie sich auf die Gesamtstruktur Schemamaster-Domänencontroller mit einem Konto, das Mitglied der Gruppe der Schemaadministratoren.
  2. Starten Sie Mmc.exe, und fügen Sie das Schema-Snap-in.
  3. Maustaste auf Active Directory-Schema, und klicken Sie dann auf Betriebsmaster.
  4. Klicken Sie auf das Schema kann auf diesem Domänencontroller geändert werden
  5. Mit ADSI-Editor, der Schema-Namenskontext zu öffnen, und suchen Sie die CN = Gruppenrichtliniencontainer Objekt ClassSchema -Typ.
  6. Anzeigen der Eigenschaften des Objekts und das Attribut DefaultSecurityDescriptor suchen.
  7. Einfügen der folgenden Zeichenfolge in den Wert entfernen Schreibberechtigungen für Domänenadministratoren an, so dass nur Organisationsadministratoren Schreibzugriff:

    D:P(A; CI; RPLCLOLORC;; D (A) (A; CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; EA) (A; CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; CO-)(A; CI; RPWPCCDCLCLORCWOWDSDDTSW;; SY) (A; CI; RPLCLORC;; AU) (OA; CI; CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939; AU)
    Geben Sie eine zusätzliche Gruppen Schreibberechtigungen fügen Sie den folgenden Text am Ende des vorherigen Text:

    (A; CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; Group_SID)
    Beachten Sie, dass Group_SID die SID der Gruppe, der Sie Berechtigungen erteilen.

    Hinweis Fügen Sie für Windows Server 2003 folgen im DefaultSecurityDescriptor -Attribut ein:
    D:P(A; CI; RPLCLOLORC;; D (A) (A; CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; EA) (A; CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; CO-)(A; CI; RPWPCCDCLCLORCWOWDSDDTSW;; SY) (A; CI; RPLCLORC;; AU) (OA; CI; CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939; AU) (A; CI; LCRPLORC;; ED)


    Hinweis Ändern des AttributsDefaultSecurityDescriptor für vorhandene Gruppenrichtlinienobjekte nicht die Sicherheitsdeskriptoren geändert. Jedoch über vollständige Zeichenfolge können Sie die ACL für vorhandene Gruppenrichtlinienobjekte zusammen mit einem Tool wie sdutil.exe ersetzen.
  8. Fügen Sie die neue Zeichenfolge in das Attribut bearbeiten , Klicken Sie auf, klicken Sie auf Übernehmenund klicken Sie dann auf OK.
Hinweis Beim Zugriff auf Domänen-Admins oder Organisations-Administratoren müssen das Standardschema Berechtigungen des Objekts Grouppolicycontainer Deny versehen werden. Diese Gruppen hinzufügen einer anderen ACL auf das Gruppenrichtlinienobjekt, bei der Erstellung. Domänenadministratoren müssen hinzufügen Domänenadministratoren und für Enterprise Administratoren Administrator hinzufügen. Hinzufügen von Deny ist die einzige Möglichkeit, Restirict Gruppen.

Support für X64-basierten Versionen von Microsoft Windows

Ihr Hardwarehersteller bietet technischen Support und Unterstützung für X64-basierten Versionen von Windows. Hardwarehersteller unterstützt, da eine X64-basierte Version von Windows mit Ihrer Hardware geliefert wurde. Hardwarehersteller kann die von Windows durch einzelne Komponenten verändert. Komponenten könnten bestimmte Gerätetreiber oder gehören Einstellungsoptionen um die Leistung der Hardware zu maximieren. Wenn Sie technische Hilfe zu Ihrer X64-basierte Version von Windows benötigen, bietet Microsoft Unterstützung in angemessenem. Sie müssen jedoch Ihre direkt beim Hersteller. Der Hersteller ihm am besten Software zu unterstützen, die der Hersteller der Hardware installiert.

Produktinformationen zu Microsoft Windows XP Professional X64 Edition finden Sie auf der folgenden Microsoft-Website:Produktinformationen zu X64-basierten Versionen von Microsoft Windows Server 2003 finden Sie auf der folgenden Microsoft-Website:
Eigenschaften

Artikelnummer: 321476 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 for Itanium-Based Systems, Windows Server 2008 R2 Foundation

Feedback