Cómo cambiar los permisos predeterminados de los GPO en Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 y Windows 2000 Server

Resumen

Desea reforzar la seguridad de objetos de directiva de grupo (GPO) para evitar que todos, pero un grupo de confianza de los administradores cambien la directiva de grupo. Puede hacerlo modificando el atributo defaultSecurityDescriptor en el objeto de directiva de grupo contenedor classScema . Sin embargo, el cambio sólo afecta a los GPO recién creado. Para los GPO existentes, puede modificar los permisos directamente en el contenedor de directiva de grupo (CN = {GUID_GPO}, CN = System, DC = domain...) y la plantilla de directiva de grupo (\\domain\SYSVOL\Policies\{GPO_GUID)}. Este procedimiento también puede ayudar a impedir que las plantillas administrativas (archivos ADM) en las plantillas de directiva de grupo se actualice accidentalmente los archivos ADM en estaciones de trabajo no administrados.

Más información

Cuando se crea un nuevo objeto de Active Directory, los permisos que se especifican en el atributo defaultSecurityDescriptor de su objeto classSchema en el esquema se aplican a él. Por este motivo, cuando se crea un GPO, su objeto groupPolicyContainer recibe su ACL desde el atributo defaultSecurityDescriptor en el CN = grupo-Directiva-Container, CN = Schema, CN = Configuration, DC =... forestroot objeto. El editor de directivas de grupo también aplica estos permisos a la carpeta, subcarpetas y archivos de plantilla de directiva de grupo (SYSVOL\Policies\ {GUID_GPO}).

Puede utilizar el siguiente proceso para modificar el atributo defaultSecurityDescriptor para el objeto classSchema de contenedor de directiva de grupo. Tenga en cuenta que dado que se trata de un cambio de esquema, se inicia una replicación completa para todos los catálogos globales en todo el bosque. Permisos de esquema se escriben utilizando el lenguaje de definición de descriptores de seguridad (SDDL). Para obtener más información acerca de SDDL, visite el siguiente sitio Web de Microsoft:

Para modificar el atributo defaultSecurityDescriptor para el objeto classSchema de contenedor de directiva de grupo:

  1. Inicie sesión en el controlador de dominio maestro de esquema de bosque con una cuenta que sea miembro del grupo Administradores de esquema.
  2. Inicie Mmc.exe y, a continuación, agregue el complemento de esquema.
  3. Haga clic en Esquema de Active Directoryy, a continuación, haga clic en maestro de operaciones.
  4. Haga clic en el esquema puede modificarse en este controlador de dominioy, a continuación, haga clic en Aceptar.
  5. Utilice el Editor ADSI para abrir el contexto de nomenclatura de esquema y, a continuación, busque el CN = contenedor de directiva de grupo objeto con el tipo de classSchema .
  6. Ver las propiedades del objeto y, a continuación, busque el atributo defaultSecurityDescriptor del .
  7. Pegar la siguiente cadena en el valor que se va a quitar permisos de escritura para los administradores de dominio para que sólo los administradores de la empresa tengan permisos de escritura:

    D:P(A; CI; RPLCLOLORC;; D. A (A;) CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; EA) (A; CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; CO)(A; CI; RPWPCCDCLCLORCWOWDSDDTSW;; SY) (A; CI; RPLCLORC;; AU) (OA; CI; CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939; AU)
    Para conceder los permisos de escritura de grupo adicional, anexe el texto siguiente al final del texto anterior:

    (A; CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; Group_SID)
    Tenga en cuenta que Group_SID es el SID del grupo al que desea conceder permisos.

    Nota: Para Windows Server 2003, pegue la cadena siga en el atributo defaultSecurityDescriptor del :
    D:P(A; CI; RPLCLOLORC;; D. A (A;) CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; EA) (A; CI; RPWPCCDCLCLOLORCWOWDSDDTSW;; CO)(A; CI; RPWPCCDCLCLORCWOWDSDDTSW;; SY) (A; CI; RPLCLORC;; AU) (OA; CI; CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939; AU) (A; CI; LCRPLORC;; ED)


    Nota: Cambiar el atributodefaultSecurityDescriptor del no modifica los descriptores de seguridad de los GPO existentes. Sin embargo, puedes usar la cadena completa anterior para reemplazar la ACL en los GPO existentes junto con una herramienta como sdutil.exe.
  8. Pegue la nueva cadena en el cuadro Editar atributo , haga clic en establecer, haga clic en Aplicary, a continuación, haga clic en Aceptar.
Nota: Si se intenta restringir el acceso a los administradores de dominio o administradores de organización debe colocar un deny en los permisos de esquema predeterminado para el objeto Grouppolicycontainer. Estos grupos agregará una supletoria ACL para el objeto de directiva de grupo cuando se crea. Para los administradores de dominio debe agregar administradores de dominio y de empresa, los administradores agregar administrador. Agregar un permiso Deny es la única forma de restirict estos grupos.

Soporte técnico para las versiones basadas en x 64 de Microsoft Windows

El fabricante del hardware proporciona soporte técnico y asistencia para versiones de Windows basadas en x64. El fabricante del hardware proporciona soporte técnico porque una versión x64 de Windows se incluye con el hardware. Su fabricante de hardware podría haber personalizado la instalación de Windows con componentes únicos. Componentes exclusivos podrían incluir controladores de dispositivo específicos o configuraciones opcionales para maximizar el rendimiento del hardware. Si necesita ayuda técnica con su versión de Windows basada en x64, Microsoft ofrecerá asistencia de esfuerzo razonable. Sin embargo, tendrá que ponerse en contacto directamente con el fabricante. El fabricante es el mejor cualificado para admitir el software que instaló el fabricante del hardware.

Para obtener información sobre x64 de Microsoft Windows XP Professional Edition, visite el siguiente sitio Web de Microsoft:Para obtener información acerca de las versiones basadas en x64 de Microsoft Windows Server 2003, visite el siguiente sitio Web de Microsoft:
Propiedades

Id. de artículo: 321476 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios