Средство Dcgpofix не восстанавливает параметры безопасности в политике контроллера домена по умолчанию в исходное состояние.
В этой статье объясняется, что средство Dcgpofix не восстанавливает параметры безопасности в политике контроллера домена по умолчанию в том же состоянии, в котором они находились после успешного завершения dcpromo, и что лучше использовать это средство только в сценарии аварийного восстановления.
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 833783
Симптомы
В документации по средству Dcgpofix.exe неправильно указано, что средство Dcgpofix восстановит параметры безопасности в политике контроллера домена по умолчанию в том же состоянии, в которое они находились сразу после успешного завершения dcpromo. Это не так.
Средство Dcgpofix лучше использовать только в сценариях аварийного восстановления. Операция Dcpromo изменяет безопасность домена добавочным образом на основе существующих параметров безопасности на этом сервере. Таким образом, после запуска Dcpromo окончательный набор параметров безопасности в политике контроллера домена по умолчанию зависит от операции Dcpromo и состояния безопасности системы, которая существовала до запуска Dcpromo. Перед запуском Dcpromo состояние безопасности системы можно изменить с помощью нескольких механизмов. Например, при установке некоторых серверных приложений могут быть внесены изменения в права пользователей, предоставляемые локальным учетным записям пользователей, таким как учетная запись SUPPORT_388945a0.
Причина
Средство Dcgpofix не может знать, в каком состоянии находились параметры безопасности перед запуском Dcpromo. Поэтому средство Dcgpofix не может вернуть параметры безопасности в исходное состояние. Вместо этого средство Dcgpofix воссоздает два объекта групповая политика по умолчанию и создает параметры на основе операций, выполняемых только во время dcpromo.
Если у вас есть новая установка Windows Server и перед запуском Dcpromo в операционной системе не внесены изменения в систему безопасности, то созданная dcgpofix политика контроллера домена по умолчанию будет почти такой же, как политика контроллера домена по умолчанию сразу после запуска Dcpromo. Однако в этом случае параметры политики контроллера домена по умолчанию будут отличаться.
Разрешение
Для общего резервного копирования и восстановления политики домена по умолчанию и политики контроллера домена по умолчанию, а также для других объектов групповой политики корпорация Майкрософт рекомендует использовать консоль управления групповая политика (GPMC) для создания регулярных резервных копий этих объектов групповой политики. Затем можно использовать GPMC вместе с этими резервными копиями, чтобы восстановить точные параметры безопасности, содержащиеся в этих GPO.
Если вы находитесь в сценарии аварийного восстановления и у вас нет резервных копий версий политики домена по умолчанию или политики контроллера домена по умолчанию, вы можете использовать средство Dcgpofix. Если вы используете средство Dcgpofix, корпорация Майкрософт рекомендует сразу после его запуска просмотреть параметры безопасности в этих GPO и вручную настроить параметры безопасности в соответствии с вашими требованиями. Исправление не планируется выпускать, так как корпорация Майкрософт рекомендует использовать GPMC для резервного копирования и восстановления всех объектов групповой политики в вашей среде. Средство Dcgpofix — это средство аварийного восстановления, которое восстанавливает среду только в функциональном состоянии. Лучше не использовать его в качестве замены для стратегии резервного копирования с помощью GPMC. Средство Dcgpofix рекомендуется использовать только в том случае, если резервная копия объекта групповой политики для политики домена по умолчанию и политики контроллера домена по умолчанию не существует.
Дополнительная информация
В следующей таблице перечислены различия в параметрах безопасности в политике контроллера домена по умолчанию после запуска средства Dcgpofix и в параметрах новой установки Windows Server после запуска Dcpromo. Корпорация Майкрософт рекомендует настроить эти параметры безопасности в соответствии с требованиями в вашей среде после запуска средства Dcgpofix.
| Параметр в политике контроллера домена по умолчанию | Значение после запуска DCPromo на чисто установленном сервере Windows Server | Значение после выполнения DCGPOFIX |
|---|---|---|
| Параметры аудита | ||
| Аудит управления учетными записями | Успешно | Нет аудита |
| Аудит доступа к службе каталогов | Успешно | Нет аудита |
| Изменение политики аудита | Успешно | Нет аудита |
| Аудит системных событий | Успешно | Нет аудита |
| Права пользователей | ||
| Создание глобальных объектов | Не определен | SERVICE, администраторы |
| Запрет доступа к компьютеру из сети | SUPPORT_388945a0 | (Пустая) |
| Запрет входа в систему локально | SUPPORT_388945a0 | (Пустая) |
| Имитация клиента после проверки подлинности | Не определен | SERVICE, администраторы |
| Загрузка и выгрузка драйверов устройств | Администраторы, операторы печати | Администраторы |
| Вход с правами на пакетные задания | ЛОКАЛЬНАЯ СЛУЖБА, SUPPORT_388945a0 | (Пустая) |
| Вход в качестве службы | NETWORK SERVICE | (Пустая) |
| Завершение работы системы | Администраторы, операторы резервного копирования, операторы сервера, операторы печати | Операторы учетных записей, администраторы, операторы резервного копирования, операторы сервера, операторы печати |
После запуска средства Dcgpofix будут изменены следующие параметры:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
В зависимости от параметров конфигурации следующие параметры также могут изменить следующее:
- SeBatchLogonRight (только ЛОКАЛЬНАЯ СЛУЖБА, а не учетная запись SUPPORT_388945a0)
- SeServiceLogonRight
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по