Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, dass das tool Dcgpofix.exe die standardmäßigen Gruppenrichtlinienobjekte (GPOs) für eine Domäne neu erstellt und dass es am besten ist, dieses Tool nur in Notfallwiederherstellungsszenarien zu verwenden.
Gilt für: Alle unterstützten Versionen von Windows Server
Ursprüngliche KB-Nummer: 833783
Der Dcpromo-Vorgang ändert die Sicherheit einer Domäne auf inkrementelle Weise, basierend auf den vorhandenen Sicherheitseinstellungen auf diesem Server. Daher hängt der endgültige Satz von Sicherheitseinstellungen in der Standard-Domänencontrollerrichtlinie nach dem Ausführen von Dcpromo sowohl vom Dcpromo-Vorgang als auch vom Sicherheitsstatus des Systems ab, das vorhanden war, bevor Sie Dcpromo ausgeführt haben. Bevor Sie Dcpromo ausführen, kann der Sicherheitsstatus des Systems durch eine Reihe von Mechanismen geändert werden. Wenn Sie beispielsweise einige Serveranwendungen installieren, werden möglicherweise Änderungen an den Benutzerrechten vorgenommen, die lokalen Benutzerkonten gewährt werden, z. B. das SUPPORT_388945a0-Konto.
Ursache
Das Dcgpofix-Tool kann nicht wissen, in welchem Zustand sich die Sicherheitseinstellungen befanden, bevor Sie Dcpromo ausführen. Daher kann das Dcgpofix-Tool die Sicherheitseinstellungen nicht genau an den ursprünglichen Zustand zurückgeben. Stattdessen erstellt das Dcgpofix-Tool die beiden Standard-GPOs neu und erstellt die Einstellungen basierend auf den Vorgängen, die nur während dcpromo ausgeführt werden.
Wenn Sie über eine neue Installation von Windows Server verfügen und keine Sicherheitsänderungen am Betriebssystem vorgenommen werden, bevor Sie Dcpromo ausführen, ist die neu erstellte Standarddomänencontrollerrichtlinie, die von Dcgpofix erstellt wird, fast identisch mit der Standarddomänencontrollerrichtlinie direkt nach dem Ausführen von Dcpromo. In diesem Fall gibt es jedoch einige Unterschiede in den Einstellungen in der Standarddomänencontrollerrichtlinie.
Lösung
Für die allgemeine Sicherung und Wiederherstellung der Standarddomänenrichtlinie und der Standarddomänencontrollerrichtlinie und für andere GPOs empfehlen wir, dass Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwenden, um regelmäßige Sicherungen dieser GPOs zu erstellen. Anschließend können Sie die GPMC in Verbindung mit diesen Sicherungen verwenden, um die genauen Sicherheitseinstellungen wiederherzustellen, die in diesen GPOs enthalten sind.
Wenn Sie sich in einem Notfallwiederherstellungsszenario befinden und keine gesicherten Versionen der Standarddomänenrichtlinie oder der Standarddomänencontrollerrichtlinie haben, können Sie die Verwendung des Dcgpofix-Tools in Betracht ziehen. Wenn Sie das Dcgpofix-Tool verwenden, wird empfohlen, dass Sie, sobald Sie es ausführen, die Sicherheitseinstellungen in diesen GPOs überprüfen und die Sicherheitseinstellungen manuell an Ihre Anforderungen anpassen. Es ist nicht geplant, dass ein Fix veröffentlicht wird, da wir empfehlen, die GPMC zum Sichern und Wiederherstellen aller GPOs in Ihrer Umgebung zu verwenden. Das Dcgpofix-Tool ist ein Notfallwiederherstellungstool, mit dem Ihre Umgebung nur in einem funktionsbezogenen Zustand wiederhergestellt wird. Es ist am besten, es nicht als Ersatz für eine Sicherungsstrategie mit GPMC zu verwenden. Es empfiehlt sich, das Dcgpofix-Tool nur zu verwenden, wenn eine GPO-Sicherung für die Standarddomänenrichtlinie und die Standarddomänencontrollerrichtlinie nicht vorhanden ist.
Weitere Informationen
In der folgenden Tabelle sind die Unterschiede in den Sicherheitseinstellungen in der Standarddomänencontrollerrichtlinie aufgeführt, nachdem Sie das Dcgpofix-Tool und die Einstellungen für eine neue Installation von Windows Server nach dem Ausführen von Dcpromo ausgeführt haben. Es wird empfohlen, diese Sicherheitseinstellungen so anzupassen, dass sie den Anforderungen in Ihrer Umgebung entsprechen, nachdem Sie das Dcgpofix-Tool ausgeführt haben.
| Einstellung in der Standard-Domänencontrollerrichtlinie | Wert nach dem Ausführen von DCPromo auf sauber installiertem Windows Server | Wert nach dem Ausführen von DCGPOFIX |
|---|---|---|
| Überwachungseinstellungen | ||
| Kontenverwaltung überwachen | Erfolgreich | Keine Überwachung |
| Verzeichnisdienstzugriff überwachen | Erfolgreich | Keine Überwachung |
| Richtlinienänderungen überwachen | Erfolgreich | Keine Überwachung |
| Systemereignisse überwachen | Erfolgreich | Keine Überwachung |
| User Rights (Benutzerrechte) | ||
| Erstellen globaler Objekte | Nicht definiert | SERVICE, Administratoren |
| Zugriff auf Computer über das Netzwerk verweigern | SUPPORT_388945a0 | (Leer) |
| Lokal anmelden verweigern | SUPPORT_388945a0 | (Leer) |
| Annehmen der Identität eines Clients nach der Authentifizierung | Nicht definiert | SERVICE, Administratoren |
| Laden und Entfernen von Gerätetreibern | Administratoren, Druckoperatoren | Administratoren |
| Als Batchauftrag anmelden | LOKALER DIENST, SUPPORT_388945a0 | (Leer) |
| Anmelden als Dienst | NETZWERKDIENST | (Leer) |
| Herunterfahren des Systems | Administratoren, Sicherungsoperatoren, Serveroperatoren, Druckoperatoren | Kontooperatoren, Administratoren, Sicherungsoperatoren, Serveroperatoren, Druckoperatoren |
Die folgenden Einstellungen werden geändert, nachdem Sie das Dcgpofix-Tool ausgeführt haben:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
Je nach Konfigurationsoptionen können die folgenden Einstellungen auch Folgendes ändern:
- SeBatchLogonRight (nur LOKALER DIENST, nicht das SUPPORT_388945a0 Konto)
- SeServiceLogonRight