Freigeben über


Das Dcgpofix-Tool stellt die Sicherheitseinstellungen in der Standarddomänencontrollerrichtlinie nicht in ihrem ursprünglichen Zustand wieder her.

In diesem Artikel wird erläutert, dass das tool Dcgpofix.exe die standardmäßigen Gruppenrichtlinienobjekte (GPOs) für eine Domäne neu erstellt und dass es am besten ist, dieses Tool nur in Notfallwiederherstellungsszenarien zu verwenden.

Gilt für: Alle unterstützten Versionen von Windows Server
Ursprüngliche KB-Nummer: 833783

Der Dcpromo-Vorgang ändert die Sicherheit einer Domäne auf inkrementelle Weise, basierend auf den vorhandenen Sicherheitseinstellungen auf diesem Server. Daher hängt der endgültige Satz von Sicherheitseinstellungen in der Standard-Domänencontrollerrichtlinie nach dem Ausführen von Dcpromo sowohl vom Dcpromo-Vorgang als auch vom Sicherheitsstatus des Systems ab, das vorhanden war, bevor Sie Dcpromo ausgeführt haben. Bevor Sie Dcpromo ausführen, kann der Sicherheitsstatus des Systems durch eine Reihe von Mechanismen geändert werden. Wenn Sie beispielsweise einige Serveranwendungen installieren, werden möglicherweise Änderungen an den Benutzerrechten vorgenommen, die lokalen Benutzerkonten gewährt werden, z. B. das SUPPORT_388945a0-Konto.

Ursache

Das Dcgpofix-Tool kann nicht wissen, in welchem Zustand sich die Sicherheitseinstellungen befanden, bevor Sie Dcpromo ausführen. Daher kann das Dcgpofix-Tool die Sicherheitseinstellungen nicht genau an den ursprünglichen Zustand zurückgeben. Stattdessen erstellt das Dcgpofix-Tool die beiden Standard-GPOs neu und erstellt die Einstellungen basierend auf den Vorgängen, die nur während dcpromo ausgeführt werden.

Wenn Sie über eine neue Installation von Windows Server verfügen und keine Sicherheitsänderungen am Betriebssystem vorgenommen werden, bevor Sie Dcpromo ausführen, ist die neu erstellte Standarddomänencontrollerrichtlinie, die von Dcgpofix erstellt wird, fast identisch mit der Standarddomänencontrollerrichtlinie direkt nach dem Ausführen von Dcpromo. In diesem Fall gibt es jedoch einige Unterschiede in den Einstellungen in der Standarddomänencontrollerrichtlinie.

Lösung

Für die allgemeine Sicherung und Wiederherstellung der Standarddomänenrichtlinie und der Standarddomänencontrollerrichtlinie und für andere GPOs empfehlen wir, dass Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwenden, um regelmäßige Sicherungen dieser GPOs zu erstellen. Anschließend können Sie die GPMC in Verbindung mit diesen Sicherungen verwenden, um die genauen Sicherheitseinstellungen wiederherzustellen, die in diesen GPOs enthalten sind.

Wenn Sie sich in einem Notfallwiederherstellungsszenario befinden und keine gesicherten Versionen der Standarddomänenrichtlinie oder der Standarddomänencontrollerrichtlinie haben, können Sie die Verwendung des Dcgpofix-Tools in Betracht ziehen. Wenn Sie das Dcgpofix-Tool verwenden, wird empfohlen, dass Sie, sobald Sie es ausführen, die Sicherheitseinstellungen in diesen GPOs überprüfen und die Sicherheitseinstellungen manuell an Ihre Anforderungen anpassen. Es ist nicht geplant, dass ein Fix veröffentlicht wird, da wir empfehlen, die GPMC zum Sichern und Wiederherstellen aller GPOs in Ihrer Umgebung zu verwenden. Das Dcgpofix-Tool ist ein Notfallwiederherstellungstool, mit dem Ihre Umgebung nur in einem funktionsbezogenen Zustand wiederhergestellt wird. Es ist am besten, es nicht als Ersatz für eine Sicherungsstrategie mit GPMC zu verwenden. Es empfiehlt sich, das Dcgpofix-Tool nur zu verwenden, wenn eine GPO-Sicherung für die Standarddomänenrichtlinie und die Standarddomänencontrollerrichtlinie nicht vorhanden ist.

Weitere Informationen

In der folgenden Tabelle sind die Unterschiede in den Sicherheitseinstellungen in der Standarddomänencontrollerrichtlinie aufgeführt, nachdem Sie das Dcgpofix-Tool und die Einstellungen für eine neue Installation von Windows Server nach dem Ausführen von Dcpromo ausgeführt haben. Es wird empfohlen, diese Sicherheitseinstellungen so anzupassen, dass sie den Anforderungen in Ihrer Umgebung entsprechen, nachdem Sie das Dcgpofix-Tool ausgeführt haben.

Einstellung in der Standard-Domänencontrollerrichtlinie Wert nach dem Ausführen von DCPromo auf sauber installiertem Windows Server Wert nach dem Ausführen von DCGPOFIX
Überwachungseinstellungen
Kontenverwaltung überwachen Erfolgreich Keine Überwachung
Verzeichnisdienstzugriff überwachen Erfolgreich Keine Überwachung
Richtlinienänderungen überwachen Erfolgreich Keine Überwachung
Systemereignisse überwachen Erfolgreich Keine Überwachung
User Rights (Benutzerrechte)
Erstellen globaler Objekte Nicht definiert SERVICE, Administratoren
Zugriff auf Computer über das Netzwerk verweigern SUPPORT_388945a0 (Leer)
Lokal anmelden verweigern SUPPORT_388945a0 (Leer)
Annehmen der Identität eines Clients nach der Authentifizierung Nicht definiert SERVICE, Administratoren
Laden und Entfernen von Gerätetreibern Administratoren, Druckoperatoren Administratoren
Als Batchauftrag anmelden LOKALER DIENST, SUPPORT_388945a0 (Leer)
Anmelden als Dienst NETZWERKDIENST (Leer)
Herunterfahren des Systems Administratoren, Sicherungsoperatoren, Serveroperatoren, Druckoperatoren Kontooperatoren, Administratoren, Sicherungsoperatoren, Serveroperatoren, Druckoperatoren

Die folgenden Einstellungen werden geändert, nachdem Sie das Dcgpofix-Tool ausgeführt haben:

  • AuditAccountManage
  • AuditDSAccess
  • AuditPolicyChange
  • AuditSystemEvents
  • SeCreateGlobalPrivilege
  • SeImpersonatePrivilege
  • SeLoadDriverPrivilege
  • SeShutdownPrivilege

Je nach Konfigurationsoptionen können die folgenden Einstellungen auch Folgendes ändern:

  • SeBatchLogonRight (nur LOKALER DIENST, nicht das SUPPORT_388945a0 Konto)
  • SeServiceLogonRight