你目前正处于脱机状态,正在等待 Internet 重新连接

如何更改 Windows Server 2008 R2、 Windows Server 2008、 Windows Server 2003 和 Windows 2000 Server 中的 Gpo 的默认权限

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 321476
概要
您可能希望增强安全性,组策略对象 (Gpo),以防止所有但受信任的管理员更改组策略的组。可以修改DefaultSecurityDescriptor属性中的组策略容器classScema对象上执行此操作。但是,更改只影响新创建的 Gpo。现有 gpo,您可以修改直接在组策略容器上的权限 (CN = {GPO_GUID},CN = 系统,DC = 域...) 和组策略模板 (\\domain\SYSVOL\Policies\{GPO_GUID})。此过程还有助于避免管理模板 (ADM 文件) 中的组策略模板从非托管的工作站上的 ADM 文件会无意中被更新。
更多信息
创建一个新的 Active Directory 对象时,它在架构中的classSchema 对象DefaultSecurityDescriptor属性中指定的权限应用到它。为此,创建一个 GPO 时,其groupPolicyContainer对象将接收到其 ACL 中的DefaultSecurityDescriptor属性从CN = 组的策略的容器,CN = 架构、 CN = 配置,DC = forestroot...对象。组策略编辑器中还对这些权限的文件夹、 子文件夹和文件在组策略模板 (SYSVOL\Policies\ {GPO_GUID}) 中。

您可以使用以下过程修改组策略容器的classSchema对象的DefaultSecurityDescriptor属性。请注意由于这是架构更改,启动完全复制所有 Gc 的跨目录林。通过使用安全描述符定义语言 (SDDL) 写入架构权限。SDDL 有关的详细信息,请访问下面的 Microsoft 网站:要修改的组策略容器classSchema对象的DefaultSecurityDescriptor属性:
  1. 林架构主机的域控制器是架构管理员组的成员的帐户登录。
  2. 启动 Mmc.exe,然后添加架构管理中。
  3. Active Directory 架构中,用鼠标右键单击,然后单击操作主机。
  4. 单击 架构可以在此域控制器上更改然后单击确定
  5. 使用 ADSI 编辑器打开架构命名上下文,然后定位到CN = 组策略容器classSchema类型的对象。
  6. 查看对象的属性,请查找defaultSecurityDescriptor属性。
  7. 粘贴到要删除的值下面的字符串写入域管理员权限,以便只有企业管理员有写权限:
    D:P(A;CI。RPLCLOLORC;;A) (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;EA) (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;CO)(A;CI。RPWPCCDCLCLORCWOWDSDDTSW ; ; ;SY) (A ;CI。RPLCLORC ; ; ;AU) (OA ;CI。CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939 ; ;AU)
    若要为其他组的写权限,将上一个文本的结尾的文本:
    (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;Group_SID)
    请注意, Group_SID 为您要向其授予权限的组的 SID。

    注意对于 Windows Server 2003 中,将defaultSecurityDescriptor属性中粘贴以下字符串:
    D:P(A;CI。RPLCLOLORC;;A) (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;EA) (A ;CI。RPWPCCDCLCLOLORCWOWDSDDTSW ; ; ;CO)(A;CI。RPWPCCDCLCLORCWOWDSDDTSW ; ; ;SY) (A ;CI。RPLCLORC ; ; ;AU) (OA ;CI。CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939 ; ;AU) (A ;CI。LCRPLORC ; ; ;ED)


    注意更改defaultSecurityDescriptor属性不会修改任何预先存在的 gpo 的安全描述符。但是,可能用于上述全部字符串替换 sdutil.exe 之类的工具一起使用预先存在的 Gpo 中的 ACL。
  8. 将粘贴到新的字符串 编辑属性 框,单击设置单击应用,然后单击确定
注意如果要限制对域管理员或企业管理员必须将 Grouppolicycontainer 对象的默认架构权限拒绝访问。在创建时这些组将添加的组策略对象 addional ACL。对于域管理员,您必须添加域管理员和企业管理员添加管理员。添加拒绝这些组是 restirict 的唯一方法。

X 基于 x64 的 Windows 版本的 Microsoft 技术支持

技术支持和帮助 x 基于 x64 的 Windows 版本,提供了与硬件制造商联系。因为 x 基于 x64 的 Windows 版本不包含与您的硬件,您的硬件制造商提供支持。您的硬件制造商可能已经自定义特有的组件与 Windows 的安装。独特组件可能包括特定设备驱动程序,或者可能包括可选的设置,以最大化硬件的性能。如果您需要技术帮助 x 基于 x64 的 Windows 版本,Microsoft 将提供合理努力协助。但是,您可能必须直接与制造商联系。您的制造商是最有资格来支持您的制造商安装的硬件的软件。

有关 Microsoft Windows XP 专业 x64 版本的产品信息,请访问下面的 Microsoft 网站: 产品 x 的 Microsoft Windows Server 2003 的基于 x64 的版本有关的信息,请访问下面的 Microsoft 网站:
Winx64 Windowsx64 64 位 64 bi

警告:本文已自动翻译

属性

文章 ID:321476 - 上次审阅时间:05/25/2012 18:09:00 - 修订版本: 1.0

Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 for Itanium-Based Systems, Windows Server 2008 R2 Foundation

  • kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtzh
反馈