Como alterar as permissões padrão nos GPOs no Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 e Windows 2000 Server

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 321476
Sumário
Você poderá aumentar a segurança em objetos de diretiva de grupo (GPOs) para impedir que todos, mas um grupo de administradores alterem a diretiva de grupo confiável. Você pode fazer isso modificando o atributo DefaultSecurityDescriptor no objeto de classScema do recipiente de diretiva de grupo. No entanto, a alteração afeta apenas os GPOs criados recentemente. Para GPOs existentes, você pode modificar permissões diretamente no recipiente de diretiva de grupo (CN = {GPO_GUID}, CN = System, DC = domain...) e o modelo de diretiva de grupo (\\domain\SYSVOL\Policies\{GPO_GUID)}. Este procedimento pode também ajudar a impedir que modelos administrativos (arquivos ADM) nos modelos de diretiva de grupo inadvertidamente sendo atualizada por arquivos ADM em estações de trabalho não gerenciados.
Mais Informação
Quando é criado um novo objeto do Active Directory, as permissões que são especificadas no atributo DefaultSecurityDescriptor do seu objeto classSchema no esquema são aplicadas a ele. Dessa forma, quando um GPO é criado, seu objeto groupPolicyContainer recebe sua ACL do atributo DefaultSecurityDescriptor no CN = grupo-Diretiva-Container, CN = Schema, CN = Configuration, DC = forestroot... objeto. O editor de diretiva de grupo também se aplica a essas permissões para a pasta, subpastas e arquivos de modelo de diretiva de grupo (SYSVOL\Policies\ {GPO_GUID}).

Você pode usar o seguinte processo para modificar o atributo DefaultSecurityDescriptor do objeto classSchema do recipiente de diretiva de grupo. Observe que como esta é uma alteração de esquema, ele inicia uma replicação completa para todos os GCs em toda a floresta. Permissões de esquema são escritas usando a definição de linguagem SDDL (Security Descriptor). Para obter mais informações sobre SDDL, visite o seguinte site da Microsoft:Para modificar o atributo DefaultSecurityDescriptor do objeto classSchema do recipiente de diretiva de grupo:
  1. Faça logon no controlador de domínio mestre de esquema do floresta com uma conta que seja membro do grupo Administradores de esquema.
  2. Iniciar MMC. exe e adicione o snap-in de esquema.
  3. Esquema do Active Directorycom o botão direito e clique em mestre de operações.
  4. Clique em O esquema pode ser modificado neste controlador de domínioe clique em OK.
  5. Use o Editor ADSI para abrir o contexto de nomeação de esquema e, em seguida, localize o CN = recipiente de diretiva de grupo objeto com tipo classSchema .
  6. Exibir as propriedades do objeto e localize o atributo defaultSecurityDescriptor .
  7. Colar a seguinte seqüência de caracteres em valor para remover gravação permissões para administradores de domínio para que apenas administradores de empresa deve ter permissões de gravação:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Para dar um permissões de gravação de grupo adicionais, acrescente o seguinte texto ao final do texto anterior:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Observe que Group_SID é o SID do grupo ao qual você está concedendo permissões.

    Observação Para Windows Server 2003, cole a seqüência de caracteres a seguir no atributo defaultSecurityDescriptor :
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI;LCRPLORC;;ED)


    Observação Alterar o atributodefaultSecurityDescriptor não modifica os descritores de segurança para qualquer GPO pré-existente. Entretanto, você pode usar a seqüência completa acima para substituir a ACL em GPOs pré-existentes em conjunto com uma ferramenta como sdutil.exe.
  8. Colar a nova seqüência para o Editar atributo caixa, clique em Definir, clique em Aplicare clique em OK.
ObservaçãoSe você estiver tentando restringir o acesso a administradores de domínio ou administradores de empresa coloque um negar as permissões de esquema padrão do objeto Grouppolicycontainer. Esses grupos adicionará uma ACL addional o objeto de diretiva de grupo quando ele é criado. Administradores de domínio, você deve adicionar Admins. do domínio e para a empresa administradores adicionar administrador. Adicionar um negar é a única forma de restirict esses grupos.

Suporte técnico para versões baseadas em x64 do Microsoft Windows

O fabricante do hardware fornece suporte técnico e assistência para versões baseadas em x64 do Windows. O fabricante do hardware fornece suporte porque uma versão baseada em x64 do Windows foi incluída com seu hardware. O fabricante do hardware pode ter personalizado a instalação do Windows com componentes exclusivos. Componentes exclusivos podem incluir drivers de dispositivo específico ou podem incluir configurações opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se você precisar de ajuda técnica com sua versão do Windows baseada em 64. No entanto, talvez você precise contatar diretamente o fabricante. O fabricante está melhor qualificado para suportar o software que o fabricante do seu instalado no hardware.

Para obter informações sobre o Microsoft Windows XP Professional x64 Edition, visite o seguinte site da Microsoft: Para obter informações sobre versões baseadas em x64 do Microsoft Windows Server 2003, visite o seguinte site da Microsoft:
Winx64 Windowsx64 64bit 64-bi

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 321476 - Última Revisão: 05/25/2012 18:04:00 - Revisão: 1.0

Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 for Itanium-Based Systems, Windows Server 2008 R2 Foundation

  • kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtpt
Comentários