Làm thế nào để thay đổi mức cấp phép mặc định trên GPOs trong Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 và Windows 2000 Server

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 321476
TÓM TẮT
Bạn có thể muốn tăng cường an ninh trên các đối tượng chính sách nhóm (GPOs) để ngăn chặn tất cả nhưng một nhóm tin cậy các quản trị viên thay đổi chính sách nhóm. Bạn có thể làm như vậy bằng cách sửa đổi các thuộc tính DefaultSecurityDescriptor vào đối tượng classScema của thùng chứa chính sách nhóm. Tuy nhiên, việc thay đổi chỉ ảnh hưởng đến vừa được tạo ra GPOs. Cho GPOs hiện có, bạn có thể sửa đổi mức cấp phép trực tiếp trên các thùng chứa chính sách nhóm (CN = {GPO_GUID}, CN = hệ thống, DC = tên miền...) và chính sách nhóm mẫu (\\domain\SYSVOL\Policies\{GPO_GUID}). Thủ tục này cũng có thể giúp ngăn ngừa hành chính mẫu (ADM tập tin) trong các mẫu chính sách nhóm từ vô tình được Cập Nhật bởi ADM các tập tin trên máy trạm làm việc không được quản lý.
THÔNG TIN THÊM
Khi một đối tượng Thư mục Họat động mới được tạo ra, các mức cấp phép được quy định trong các thuộc tính DefaultSecurityDescriptor của đối tượng classSchema trong giản đồ được áp dụng cho nó. Vì khi một GPO được tạo ra, đối tượng groupPolicyContainer nhận ACL của nó từ các thuộc tính DefaultSecurityDescriptor trong các CN = nhóm chính sách-một thùng chứa, CN = Schema, CN = Configuration, DC = forestroot... đối tượng. Trình soạn thảo chính sách nhóm cũng áp dụng các mức cấp phép này cho các cặp, cặp con và tệp trong chính sách nhóm mẫu (SYSVOL\Policies\ {GPO_GUID}).

Bạn có thể sử dụng quá trình sau đây để sửa đổi các thuộc tính DefaultSecurityDescriptor cho đối tượng classSchema nhóm chính sách Container. Lưu ý rằng bởi vì đây là một sự thay đổi lược đồ, nó Bắt đầu một đồng gửi đầy đủ cho tất cả các GCs qua rừng. Giản đồ quyền được viết bằng cách sử dụng ngôn ngữ định nghĩa ký hiệu mô tả an toàn thông tin (SDDL). Để biết thêm chi tiết về SDDL, ghé thăm Web site sau của Microsoft:Để sửa đổi các thuộc tính DefaultSecurityDescriptor cho đối tượng classSchema thùng chứa chính sách nhóm:
  1. kí nhập vào bộ bộ kiểm soát miền chủ giản đồ rừng với trương mục là một thành viên của nhóm quản trị viên Schema.
  2. Bắt đầu Mmc.exe, và sau đó thêm lược đồ-theo.
  3. Bấm chuột phải Lược đồ Thư mục Họat động, và sau đó nhấp vào hoạt động từ Master.
  4. Nhấp vào Giản đồ có thể được sửa đổi vào bộ kiểm soát miền, rồi bấm OK.
  5. Sử dụng ADSI Editor để mở bối cảnh giản đồ đặt tên, và sau đó xác định vị trí các CN = nhóm chính sách-một thùng chứa đối tượng với loại classSchema .
  6. Xem thuộc tính của đối tượng, và sau đó tìm các thuộc tính defaultSecurityDescriptor .
  7. Dán chuỗi sau đây vào giá trị để loại bỏ viết mức cấp phép cho quản trị viên tên miền để chỉ người quản trị doanh nghiệp sẽ có quyền ghi:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Để cung cấp cho một quyền ghi thêm nhóm, gắn tiếp văn bản sau vào cuối các văn bản trước đó:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Lưu ý rằng Group_SID là SID của nhóm mà bạn cấp quyền truy cập.

    Lưu ý Cho Windows Server 2003, dán chuỗi theo thuộc tính defaultSecurityDescriptor :
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI;LCRPLORC;;ED)


    Lưu ý Thay đổi các thuộc tínhdefaultSecurityDescriptor không sửa đổi trình ký hiệu mô tả an toàn thông tin cho bất kỳ tiền GPOs. Bạn có thể, tuy nhiên, sử dụng chuỗi đầy đủ ở trên để thay thế ACL vào trước hiện GPOs kết hợp với một công cụ như sdutil.exe.
  8. Dán chuỗi mới vào các chỉnh sửa các thuộc tính hộp, bấm Set, bấm áp dụngvà sau đó bấm OK.
Lưu ýNếu bạn đang cố gắng để hạn chế truy cập để quản trị viên tên miền hoặc người quản trị doanh nghiệp, bạn phải đặt một từ chối ở các mức cấp phép mặc định lược đồ cho đối tượng Grouppolicycontainer. Các nhóm này sẽ thêm một addional ACL vào đối tượng chính sách nhóm khi nó được tạo ra. Cho quản trị viên tên miền bạn phải thêm quản trị viên tên miền và cho doanh nghiệp quản trị viên thêm người quản trị. Thêm một từ chối là cách duy nhất để restirict các nhóm này.

Hỗ trợ kỹ thuật cho x 64 dựa trên các phiên bản của Microsoft Windows

Hãng chế tạo phần cứng cung cấp hỗ trợ kỹ thuật và hỗ trợ cho x 64 dựa trên các phiên bản của Windows. Hãng chế tạo phần cứng hỗ trợ bởi vì một x 64 dựa trên phiên bản của Windows được bao gồm trong phần cứng của bạn. Hãng chế tạo phần cứng có thể có thiết lập chuyên biệt của Windows với các thành phần độc đáo. Các thành phần độc đáo có thể bao gồm trình khiển trình cụ thể hoặc có thể bao gồm tùy chọn thiết đặt để tối đa hóa hiệu suất của phần cứng. Microsoft sẽ cung cấp hỗ trợ nỗ lực hợp lý nếu bạn cần trợ giúp kỹ thuật với các x 64 dựa trên phiên bản Windows. Tuy nhiên, bạn có thể phải liên hệ với hãng chế tạo trực tiếp. Hãng chế tạo tốt nhất đủ điều kiện để hỗ trợ phần mềm mà nhà sản xuất của bạn cài đặt chuyên biệt trên phần cứng.

Sản phẩm thông tin về Microsoft Windows XP Professional x 64 Edition, ghé thăm Web site sau của Microsoft: Sản phẩm thông tin về x 64 dựa trên các phiên bản của Microsoft Windows Server 2003, ghé thăm Web site sau của Microsoft:
Winx64 Windowsx64 64 bit 64-bi

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 321476 - Xem lại Lần cuối: 05/25/2012 18:09:00 - Bản sửa đổi: 3.0

Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Microsoft Windows Server Foundation 2008 Windows Server Foundation, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 for Itanium-Based Systems, Windows Server 2008 R2 Foundation

  • kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtvi
Phản hồi