Opis zmian w ustawieniach zabezpieczeń DCOM po zainstalowaniu dodatku Service Pack 1 dla systemu Windows Server 2003

WPROWADZENIE

Dodatek Service Pack 1 (SP1) dla systemu Microsoft Windows Server 2003 wprowadza pewne ulepszenia w domyślnych ustawieniach zabezpieczeń protokołu DCOM. Mówiąc dokładniej, dodatek SP1 dla systemu Windows Server 2003 wprowadza prawa, które dają administratorowi niezależną kontrolę nad lokalnymi i zdalnymi uprawnieniami do uruchamiania serwerów COM, uaktywniania ustawień serwera modelu COM oraz uzyskiwania dostępu do serwerów COM. W tym artykule opisano zmiany w ustawieniach zabezpieczeń DCOM.

Więcej informacji

Protokół DCOM jest używany przez usługi certyfikatów systemu Windows Server 2003 do realizowania usług rejestrowania i administrowania. Usługi certyfikatów udostępniają kilka interfejsów modelu DCOM, za pośrednictwem których są dostępne usługi rejestrowania i administrowania. Aby było możliwe poprawne uzyskiwanie dostępu do tych usług i korzystanie z nich, usługi certyfikatów działają zgodnie z założeniem, że ustawienia interfejsów DCOM zezwalają na zdalne uaktywnianie i dostęp. Ponieważ jednak po uaktualnieniu do systemu Windows Server 2003 z dodatkiem SP1 są stosowane domyślne ustawienia zabezpieczeń DCOM, może być konieczna ich aktualizacja, aby usługi rejestrowania i administrowania były dostępne.

W konfiguracji domyślnej wszystkie interfejsy DCOM w systemie Windows Server 2003 z dodatkiem SP1 udzielają administratorom uprawnień dostępu zdalnego, uprawnień uruchamiania zdalnego i uprawnień uaktywniania zdalnego. Ale uaktualnienie do systemu Windows Server 2003 z dodatkiem SP1 powoduje wprowadzenie zmian w konfiguracji zabezpieczeń globalnego interfejsu DCOM oraz interfejsu DCOM CertSrv Request. Zmiany te są wprowadzane, aby było możliwe poprawne działanie usług certyfikatów.

Uwaga Wszystkie zmiany dokonane w ustawieniach zabezpieczeń interfejsu DCOM CertSrv Request przed zainstalowaniem dodatku SP1 dla systemu Windows Server 2003 zostaną utracone. Instalator dodatku SP1 dla systemu Windows Server 2003 resetuje wszystkie ustawienia zabezpieczeń interfejsu DCOM CertSrv Request, przywracając ich ustawienia domyślne.

W trakcie instalowania dodatku SP1 dla systemu Windows Server 2003 usługi certyfikatów automatycznie aktualizują ustawienia zabezpieczeń DCOM w sposób następujący:
 • Interfejs DCOM CertSrv Request
  • Grupie zabezpieczeń Wszyscy są udzielane uprawnienia dostępu lokalnego i zdalnego.
  • Grupie zabezpieczeń Wszyscy są udzielane uprawnienia uaktywniania lokalnego i zdalnego.
  • Grupie zabezpieczeń Wszyscy nie są udzielane uprawnienia uruchamiania lokalnego i zdalnego.
 • Ustawienia ograniczeń dla komputera DCOM
  • Automatycznie zostanie utworzona nowa grupa zabezpieczeń, CERTSVC_DCOM_ACCESS.

   Jeśli urząd certyfikacji jest zainstalowany na serwerze członkowskim, grupa CERTSVC_DCOM_ACCESS jest tworzona jako grupa lokalna komputera. Grupa zabezpieczeń Wszyscy zostanie dodana do grupy CERTSVC_DCOM_ACCESS.

   Jeśli urząd certyfikacji jest zainstalowany na kontrolerze domeny, grupa CERTSVC_DCOM_ACCESS jest tworzona jako grupa lokalna domeny. Grupy zabezpieczeń Użytkownicy domeny i Komputery domeny z domeny urzędu certyfikacji zostaną dodane do grupy CERTSVC_DCOM_ACCESS. Jeśli kontrolery domeny wymagają dostępu do tego interfejsu, to aby żądać certyfikatów od urzędu certyfikacji, musi zostać dodana grupa zabezpieczeń Kontrolery domeny. Jest to konieczne, ponieważ kontrolery domeny nie są częścią grupy zabezpieczeń Komputery domeny.
  • Grupie zabezpieczeń CERTSVC_DCOM_ACCESS są udzielane uprawnienia dostępu lokalnego i zdalnego.
  • Grupie zabezpieczeń CERTSVC_DCOM_ACCESS są udzielane uprawnienia uaktywniania lokalnego i zdalnego.
  • Grupie zabezpieczeń CERTSVC_DCOM_ACCESS nie są udzielane uprawnienia uruchamiania lokalnego i zdalnego.
  Uwaga Jeśli urząd certyfikacji jest zainstalowany na kontrolerze domeny, a przedsiębiorstwo ma więcej niż jedną domenę, usługi certyfikatów nie mogą automatycznie aktualizować ustawień zabezpieczeń modelu DCOM dla stron rejestrujących spoza domeny urzędu certyfikacji. Tym stronom rejestrującym zostanie odmówiony dostęp do urzędu certyfikacji w celu rejestrowania.

  Aby rozwiązać ten problem, należy ręcznie dodać użytkowników do grupy zabezpieczeń CERTSVC_DCOM_ACCESS. Ponieważ grupa zabezpieczeń CERTSVC_DCOM_ACCESS jest grupą lokalną domeny, można do niej dodać tylko grupy domeny. Jeśli na przykład w urzędzie certyfikacji muszą się zarejestrować użytkownicy i komputery z innej domeny o nazwie Contoso, należy ręcznie dodać grupy Contoso\Użytkownicy domeny i Contoso\Komputery domeny do grupy zabezpieczeń CERTSVC_DCOM_ACCESS.

  Jeśli po zainstalowaniu dodatku SP1 dla systemu Windows Server 2003 jakimkolwiek stronom rejestrującym, które powinny zostać autoryzowane przez urząd certyfikacji, zostanie odmówiona autoryzacja, można zainicjować ponowne zaktualizowanie ustawień zabezpieczeń DCOM przez usługi certyfikatów. Aby to zrobić, wpisz następujące polecenia w wierszu polecenia, naciskając po każdym z nich klawisz ENTER:
  certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
  net stop certsvc
  net start certsvc
  DCOM_SECURITY_UPDATED_FLAG jest wewnętrzną flagą rejestru usług certyfikatów, która wskazuje, że ustawienia zabezpieczeń modelu DCOM zostały pomyślnie zaktualizowane. Usługi certyfikatów sprawdzają tę flagę za każdym razem, gdy są uruchamiane. Powyższe polecenia powodują zresetowanie flagi, a następnie zatrzymanie i uruchomienie usług certyfikatów. Takie zachowanie powoduje, że usługi certyfikatów ponownie aktualizują ustawienia zabezpieczeń DCOM.
Po zainstalowaniu dodatku SP1 dla systemu Windows Server 2003 mogą zostać zarejestrowane następujące zdarzenia.

Komunikat o zdarzeniu 1
Typ zdarzenia: Błąd
Źródło zdarzenia: Autorejestrowanie
Kategoria zdarzenia: Brak
Identyfikator zdarzenia: 13
Data: Data
Godzina: Godzina
Użytkownik: Brak
Komputer: Nazwa_komputera
Opis: Funkcja automatycznego rejestrowania certyfikatów dla systemu lokalnego nie może zarejestrować jednego certyfikatu Replikacja katalogu poprzez e-mail (0x80070005). Odmowa dostępu. Aby uzyskać więcej informacji, zobacz Centrum pomocy i obsługi technicznej w witrynie http://support.microsoft.com.
Komunikat o zdarzeniu 2
Typ zdarzenia: Błąd
Źródło zdarzenia: Autorejestrowanie
Kategoria zdarzenia: Brak
Identyfikator zdarzenia: 13
Data: Data
Godzina: Godzina
Użytkownik: Brak
Komputer: Nazwa_komputera
Opis: Funkcja automatycznego rejestrowania certyfikatów dla systemu lokalnego nie może zarejestrować jednego certyfikatu Uwierzytelnianie stacji roboczej (0x80070005). Odmowa dostępu. Aby uzyskać więcej informacji, zobacz Centrum pomocy i obsługi technicznej w witrynie http://support.microsoft.com.
W wyniku ręcznego zażądania certyfikatu przy użyciu przystawki Certyfikaty może zostać wyświetlony następujący komunikat o błędzie:
Żądanie certyfikatu nie powiodło się. Możliwe przyczyny: - Żądanie certyfikatu zostało przesłane do urzędu certyfikacji, który nie jest uruchomiony. - Nie masz uprawnień do żądania certyfikatów od dostępnych urzędów certyfikacji.
Uwaga Jeśli te błędy wystąpiły na kontrolerze domeny, należy dodać grupę Kontrolery domeny do grupy CERTSVC_DCOM_ACCESS. Kontrolery domeny nie są członkami grupy globalnej Komputery domeny i domyślnie nie będą miały wystarczających uprawnień DCOM.

Po zmianie członkostwa grupy w celu dołączenia grupy Kontrolery domeny należy ponownie uruchomić kontroler domeny, aby zmiana została uwzględniona.

Pomoc techniczna związana z 64-bitowymi wersjami systemów Microsoft Windows

Jeżeli dany sprzęt został dostarczony z zainstalowanym systemem Microsoft Windows w wersji x64, pomoc techniczną i wsparcie związane z systemem Windows w wersji x64 zapewnia producent sprzętu. W takim przypadku producent sprzętu zapewnia pomoc techniczną, ponieważ system Windows w wersji x64 został dostarczony razem ze sprzętem. Być może producent sprzętu dostosował instalację systemu Windows w wersji x64 przy użyciu unikatowych składników, do których mogą należeć sterowniki określonych urządzeń lub ustawienia opcjonalne maksymalizujące wydajność sprzętu. Firma Microsoft będzie zapewniać pomoc techniczną w uzasadnionym zakresie, jeżeli będzie konieczne uzyskanie pomocy technicznej związanej z systemem Windows w wersji x64, ale może być konieczny bezpośredni kontakt z producentem sprzętu, który jest najlepiej przygotowany do udzielania pomocy w zakresie oprogramowania zainstalowanego na danym sprzęcie. Użytkownicy, którzy kupili system Windows w wersji x64, taki jak Microsoft Windows Server 2003 x64 Edition, oddzielnie od sprzętu, w celu uzyskania pomocy technicznej powinni się skontaktować z firmą Microsoft.

Aby uzyskać informacje na temat produktu Microsoft Windows XP Professional x64 Edition, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby uzyskać informacje na temat wersji systemu Microsoft Windows Server 2003 dla komputerów z procesorami x64, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Aby uzyskać więcej informacji na temat ulepszeń zabezpieczeń DCOM wprowadzanych przez dodatek SP1 dla systemu Windows Server 2003, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Właściwości

Identyfikator artykułu: 903220 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia