Dcgpofix aracı, Varsayılan Etki Alanı Denetleyicisi İlkesi'ndeki güvenlik ayarlarını özgün durumuna geri yüklemez
Bu makalede, Dcgpofix aracının Varsayılan Etki Alanı Denetleyicisi İlkesi'ndeki güvenlik ayarlarını Dcpromo başarıyla tamamlandıktan sonra bulundukları duruma geri yüklemediği ve bu aracı yalnızca olağanüstü durum kurtarma senaryosunda kullanmanın en iyisi olduğu açıklanmaktadır.
Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 833783
Belirtiler
Dcgpofix.exe aracının belgeleri, Dcgpofix aracının Varsayılan Etki Alanı Denetleyicisi İlkesi'ndeki güvenlik ayarlarını Dcpromo başarıyla tamamlandıktan hemen sonra bulundukları duruma geri yükleyeceğini yanlış gösterir. Böyle bir durum söz konusu değil.
Dcgpofix aracını yalnızca olağanüstü durum kurtarma senaryolarında kullanmak en iyisidir. Dcpromo işlemi, söz konusu sunucudaki mevcut güvenlik ayarlarına bağlı olarak etki alanının güvenliğini artımlı bir şekilde değiştirir. Bu nedenle, Dcpromo'yı çalıştırdıktan sonra, Varsayılan Etki Alanı Denetleyicisi İlkesi'ndeki son güvenlik ayarları, dcpromo işlemine ve dcpromo çalıştırmadan önce var olan sistemin güvenlik durumuna bağlıdır. Dcpromo'yı çalıştırmadan önce, sistemin güvenlik durumu bir dizi mekanizma tarafından değiştirilebilir. Örneğin, bazı sunucu uygulamalarını yüklediğinizde, SUPPORT_388945a0 hesabı gibi yerel kullanıcı hesaplarına verilen kullanıcı haklarında değişiklikler yapılabilir.
Neden
Dcgpofix aracı, Dcpromo çalıştırmadan önce güvenlik ayarlarının hangi durumda olduğunu bilmez. Bu nedenle, Dcgpofix aracı güvenlik ayarlarını tam olarak özgün duruma döndüremez. Bunun yerine, Dcgpofix aracı iki varsayılan grup ilkesi nesnesini (GPO) yeniden oluşturur ve ayarları yalnızca Dcpromo sırasında gerçekleştirilen işlemlere göre oluşturur.
Windows Server'ın yeni bir yüklemesine sahipseniz ve Dcpromo'yu çalıştırmadan önce işletim sisteminde hiçbir güvenlik değişikliği yapılmazsa, Dcgpofix tarafından oluşturulan yeniden oluşturulan Varsayılan Etki Alanı Denetleyicisi İlkesi, Dcpromo'yu çalıştırdıktan hemen sonra Varsayılan Etki Alanı Denetleyicisi İlkesi ile neredeyse aynı olur. Ancak, bu durumda Varsayılan Etki Alanı Denetleyicisi İlkesi'ndeki ayarlarda bazı farklılıklar olacaktır.
Çözüm
Varsayılan Etki Alanı İlkesi ve Varsayılan Etki Alanı Denetleyicisi İlkesi'nin ve diğer GPO'ların genel yedeklemesi ve geri yüklenmesi için Microsoft, bu GPO'ların düzenli yedeklemelerini oluşturmak için grup ilkesi Yönetim Konsolu'nu (GPMC) kullanmanızı önerir. Ardından GPMC'yi bu yedeklemelerle birlikte kullanarak bu GPO'larda yer alan tam güvenlik ayarlarını geri yükleyebilirsiniz.
Olağanüstü durum kurtarma senaryosundaysanız ve Varsayılan Etki Alanı İlkesi'nin veya Varsayılan Etki Alanı Denetleyicisi İlkesi'nin yedeklenmiş sürümlerine sahip değilseniz Dcgpofix aracını kullanmayı düşünebilirsiniz. Dcgpofix aracını kullanıyorsanız, Microsoft bunu çalıştırdığınız anda bu GPO'lardaki güvenlik ayarlarını gözden geçirmenizi ve güvenlik ayarlarını gereksinimlerinize uyacak şekilde el ile ayarlamanızı önerir. Microsoft, ortamınızdaki tüm GPO'ları yedeklemek ve geri yüklemek için GPMC kullanmanızı önerdiği için bir düzeltmenin yayımlanması zamanlanmış değildir. Dcgpofix aracı, ortamınızı yalnızca işlevsel bir duruma geri yükleyen bir olağanüstü durum kurtarma aracıdır. GPMC kullanarak yedekleme stratejisinin yerine bunu kullanmamak en iyisidir. Dcgpofix aracını yalnızca Varsayılan Etki Alanı İlkesi ve Varsayılan Etki Alanı Denetleyicisi İlkesi için bir GPO yedeklemesi mevcut olmadığında kullanmak en iyisidir.
Daha fazla bilgi
Aşağıdaki tabloda, Dcgpofix aracını çalıştırdıktan sonra Varsayılan Etki Alanı Denetleyicisi İlkesi'ndeki güvenlik ayarlarındaki farklılıklar ve Dcpromo'yu çalıştırdıktan sonra Windows Server'ın yeni yüklemesindeki ayarlar listelenmiştir. Microsoft, Dcgpofix aracını çalıştırdıktan sonra bu güvenlik ayarlarını ortamınızdaki gereksinimlere uyacak şekilde ayarlamanızı önerir.
| Varsayılan Etki Alanı Denetleyicisi İlkesinde Ayar | Temiz yüklenmiş Windows Server'da DCPromo çalıştırıldıktan sonra değer | DCGPOFIX çalıştırıldıktan sonra değer |
|---|---|---|
| Denetim Ayarları | ||
| Hesap Yönetimini Denetle | Başarı | Denetim Yok |
| Dizin Hizmeti Erişimini Denetleme | Başarı | Denetim Yok |
| denetim ilkesi değişikliği | Başarı | Denetim Yok |
| Sistem Olaylarını Denetleme | Başarı | Denetim Yok |
| Kullanıcı Hakları | ||
| Genel Nesneler Oluşturma | Tanımlanmadı | HİzMET, Yöneticiler |
| Ağdan bilgisayara erişimi reddetme | SUPPORT_388945a0 | (Boş) |
| Yerel olarak oturum açmayı reddet | SUPPORT_388945a0 | (Boş) |
| Kimlik doğrulaması sonrası istemcinin kimliğine bürün | Tanımlanmadı | HİzMET, Yöneticiler |
| Cihaz sürücülerini yükleme ve kaldırma | Yöneticiler, Yazdırma İşleçleri | Yöneticiler |
| Toplu iş olarak oturum açma | YEREL HİzMET, SUPPORT_388945a0 | (Boş) |
| Hizmet olarak oturum açma | AĞ HİZMETİ | (Boş) |
| Sistemi kapatma | Yöneticiler, Yedekleme İşleçleri, Sunucu İşleçleri, Yazdırma İşleçleri | Hesap İşleçleri, Yöneticiler, Yedekleme İşleçleri, Sunucu İşleçleri, Yazdırma İşleçleri |
Dcgpofix aracını çalıştırdıktan sonra aşağıdaki ayarlar değişir:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- Seımpersonateprivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
Yapılandırma seçeneklerine bağlı olarak, aşağıdaki ayarlar aşağıdakileri de değiştirebilir:
- SeBatchLogonRight (SUPPORT_388945a0 hesabı değil, yalnızca YEREL HİzMET)
- SeServiceLogonRight
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin