La herramienta Dcgpofix no restaura la configuración de seguridad de la directiva de controlador de dominio predeterminada a su estado original.
En este artículo se explica que la herramienta Dcgpofix no restaura la configuración de seguridad de la directiva de controlador de dominio predeterminada al mismo estado en el que se encontraban después de completar correctamente Dcpromo y que es mejor usar esta herramienta solo en el escenario de recuperación ante desastres.
Se aplica a: Windows Server 2012 R2
Número de KB original: 833783
Síntomas
La documentación de la herramienta de Dcgpofix.exe indica incorrectamente que la herramienta Dcgpofix restaurará la configuración de seguridad de la directiva de controlador de dominio predeterminada al mismo estado en el que se encontraban inmediatamente después de que Dcpromo se completara correctamente. Este no es el caso.
Es mejor usar la herramienta Dcgpofix solo en escenarios de recuperación ante desastres. La operación Dcpromo modifica la seguridad del dominio de forma incremental, en función de la configuración de seguridad existente en ese servidor. Por lo tanto, después de ejecutar Dcpromo, el conjunto final de configuración de seguridad en la directiva de controlador de dominio predeterminada depende de la operación Dcpromo y del estado de seguridad del sistema que existía antes de ejecutar Dcpromo. Antes de ejecutar Dcpromo, el estado de seguridad del sistema se puede modificar mediante una serie de mecanismos. Por ejemplo, al instalar algunas aplicaciones de servidor, se pueden realizar cambios en los derechos de usuario que se conceden a las cuentas de usuario locales, como la cuenta de SUPPORT_388945a0.
Causa
La herramienta Dcgpofix no puede saber en qué estado se encontraba la configuración de seguridad antes de ejecutar Dcpromo. Por lo tanto, la herramienta Dcgpofix no puede devolver la configuración de seguridad al estado original con precisión. En su lugar, la herramienta Dcgpofix vuelve a crear los dos objetos de directiva de grupo (GPO) predeterminados y crea la configuración en función de las operaciones que se realizan solo durante Dcpromo.
Si tiene una nueva instalación de Windows Server y no se realizan cambios de seguridad en el sistema operativo antes de ejecutar Dcpromo, la directiva de controlador de dominio predeterminada creada por Dcgpofix será casi la misma que la directiva de controlador de dominio predeterminada justo después de ejecutar Dcpromo. Sin embargo, habrá algunas diferencias en la configuración de la directiva de controlador de dominio predeterminada en este caso.
Solución
Para realizar copias de seguridad y restaurar de forma general la directiva de dominio predeterminada y la directiva de controlador de dominio predeterminada, así como para otros GPO, Microsoft recomienda usar la consola de administración de directiva de grupo (GPMC) para crear copias de seguridad periódicas de estos GPO. A continuación, puede usar GPMC junto con estas copias de seguridad para restaurar la configuración de seguridad exacta contenida en estos GPO.
Si se encuentra en un escenario de recuperación ante desastres y no tiene ninguna versión de copia de seguridad de la directiva de dominio predeterminada o la directiva de controlador de dominio predeterminada, puede considerar la posibilidad de usar la herramienta Dcgpofix. Si usa la herramienta Dcgpofix, Microsoft recomienda que, en cuanto la ejecute, revise la configuración de seguridad de estos GPO y ajuste manualmente la configuración de seguridad para que se adapte a sus requisitos. No se ha programado la publicación de una corrección porque Microsoft recomienda usar GPMC para realizar copias de seguridad y restaurar todos los GPO de su entorno. La herramienta Dcgpofix es una herramienta de recuperación ante desastres que solo restaurará el entorno a un estado funcional. Es mejor no usarlo como reemplazo de una estrategia de copia de seguridad mediante GPMC. Es mejor usar la herramienta Dcgpofix solo cuando no existe una copia de seguridad de GPO para la directiva de dominio predeterminada y la directiva de controlador de dominio predeterminada.
Más información
En la tabla siguiente se enumeran las diferencias en la configuración de seguridad en la directiva de controlador de dominio predeterminada después de ejecutar la herramienta Dcgpofix y la configuración en una nueva instalación de Windows Server después de ejecutar Dcpromo. Microsoft recomienda ajustar esta configuración de seguridad para que coincida con los requisitos de su entorno después de ejecutar la herramienta Dcgpofix.
| Configuración en la directiva de controlador de dominio predeterminada | Valor después de ejecutar DCPromo en Windows Server instalado limpiamente | Valor después de ejecutar DCGPOFIX |
|---|---|---|
| Configuración de auditoría | ||
| Auditoría de la administración de cuentas | Correcto | Sin auditoría |
| Auditar el acceso al servicio de directorio | Correcto | Sin auditoría |
| Cambio de directiva de auditoría | Correcto | Sin auditoría |
| Auditar eventos del sistema | Correcto | Sin auditoría |
| Derechos de usuario | ||
| Creación de objetos globales | No definida | SERVICE, Administradores |
| Denegar el acceso al equipo desde la red | SUPPORT_388945a0 | (Vacío) |
| Denegar el inicio de sesión localmente | SUPPORT_388945a0 | (Vacío) |
| Suplantar a un cliente tras la autenticación | No definida | SERVICE, Administradores |
| Carga y descarga de controladores de dispositivos | Administradores, operadores de impresión | Administradores |
| Iniciar sesión como proceso por lotes | SERVICIO LOCAL, SUPPORT_388945a0 | (Vacío) |
| Iniciar sesión como servicio | SERVICIO DE RED | (Vacío) |
| Apagar el sistema | Administradores, operadores de copia de seguridad, operadores de servidor, operadores de impresión | Operadores de cuenta, administradores, operadores de copia de seguridad, operadores de servidor, operadores de impresión |
La siguiente configuración cambiará después de ejecutar la herramienta Dcgpofix:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
En función de las opciones de configuración, las opciones siguientes también pueden cambiar lo siguiente:
- SeBatchLogonRight (solo LOCAL SERVICE, no la cuenta de SUPPORT_388945a0)
- SeServiceLogonRight
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de