Compartir a través de


La herramienta Dcgpofix no restaura la configuración de seguridad en la directiva predeterminada del controlador de dominio a su estado original.

En este artículo se explica que la herramienta Dcgpofix.exe vuelve a crear los objetos de directiva de grupo (GPO) predeterminados para un dominio y que es mejor usar esta herramienta solo en escenarios de recuperación ante desastres.

Se aplica a: Todas las versiones compatibles de Windows Server
Número de KB original: 833783

La operación Dcpromo modifica la seguridad de un dominio de forma incremental, en función de la configuración de seguridad existente en ese servidor. Por lo tanto, después de ejecutar Dcpromo, el conjunto final de la configuración de seguridad en la directiva predeterminada del controlador de dominio depende de la operación dcpromo y del estado de seguridad del sistema que existía antes de ejecutar Dcpromo. Antes de ejecutar Dcpromo, el estado de seguridad del sistema se puede modificar mediante varios mecanismos. Por ejemplo, al instalar algunas aplicaciones de servidor, se pueden realizar cambios en los derechos de usuario que se conceden a las cuentas de usuario locales, como la cuenta de SUPPORT_388945a0.

Causa

La herramienta Dcgpofix no puede saber en qué estado se encontraba la configuración de seguridad antes de ejecutar Dcpromo. Por lo tanto, la herramienta Dcgpofix no puede devolver la configuración de seguridad a exactamente el estado original. En su lugar, la herramienta Dcgpofix vuelve a crear los dos GPO predeterminados y crea la configuración en función de las operaciones que se realizan solo durante Dcpromo.

Si tiene una nueva instalación de Windows Server y no se realizan cambios de seguridad en el sistema operativo antes de ejecutar Dcpromo, la directiva de controlador de dominio predeterminada creada por Dcgpofix será casi la misma que la directiva de controlador de dominio predeterminada justo después de ejecutar Dcpromo. Sin embargo, habrá algunas diferencias en la configuración de la directiva predeterminada del controlador de dominio en este caso.

Solución

Para la copia de seguridad y restauración generales de la directiva de dominio predeterminada y la directiva de controlador de dominio predeterminada, y también para otros GPO, se recomienda usar la Consola de administración de directivas de grupo (GPMC) para crear copias de seguridad periódicas de estos GPO. A continuación, puede usar GPMC junto con estas copias de seguridad para restaurar la configuración de seguridad exacta contenida en estos GPO.

Si está en un escenario de recuperación ante desastres y no tiene ninguna versión de copia de seguridad de la directiva de dominio predeterminada o la directiva de controlador de dominio predeterminada, puede considerar el uso de la herramienta Dcgpofix. Si usa la herramienta Dcgpofix, se recomienda que en cuanto la ejecute, revise la configuración de seguridad en estos GPO y ajuste manualmente la configuración de seguridad para satisfacer sus requisitos. No se ha programado que se publique una corrección porque se recomienda usar GPMC para realizar copias de seguridad y restaurar todos los GPO del entorno. La herramienta Dcgpofix es una herramienta de recuperación ante desastres que restaurará el entorno solo a un estado funcional. Es mejor no usarlo como reemplazo de una estrategia de copia de seguridad mediante GPMC. Es mejor usar la herramienta Dcgpofix solo cuando no existe una copia de seguridad de GPO para la directiva de dominio predeterminada y la directiva de controlador de dominio predeterminada.

Más información

En la tabla siguiente se enumeran las diferencias en la configuración de seguridad de la directiva predeterminada del controlador de dominio después de ejecutar la herramienta Dcgpofix y la configuración en una nueva instalación de Windows Server después de ejecutar Dcpromo. Se recomienda ajustar esta configuración de seguridad para que coincida con los requisitos de su entorno después de ejecutar la herramienta Dcgpofix.

Establecer en la directiva predeterminada del controlador de dominio Valor después de ejecutar DCPromo en Windows Server instalado limpiamente Valor después de ejecutar DCGPOFIX
Configuración de auditoría
Auditoría de la administración de cuentas Correcto Sin auditoría
Auditar el acceso del servicio de directorio Correcto Sin auditoría
Cambio de directiva de auditoría Correcto Sin auditoría
Auditar eventos del sistema Correcto Sin auditoría
Derechos de usuario
Crear objetos globales No definida SERVICE, Administradores
Denegar el acceso al equipo desde la red SUPPORT_388945a0 (Vacío)
Denegar inicio de sesión localmente SUPPORT_388945a0 (Vacío)
Suplantar un cliente después de autenticación No definida SERVICE, Administradores
Cargar y descargar controladores de dispositivo Administradores, Operadores de impresión Administradores
Inicio de sesión como trabajo por lotes SERVICIO LOCAL, SUPPORT_388945a0 (Vacío)
Iniciar sesión como servicio SERVICIO DE RED (Vacío)
Apagar el sistema Administradores, operadores de copia de seguridad, operadores de servidor, operadores de impresión Operadores de cuenta, administradores, operadores de copia de seguridad, operadores de servidor, operadores de impresión

La siguiente configuración cambiará después de ejecutar la herramienta Dcgpofix:

  • AuditAccountManage
  • AuditDSAccess
  • AuditPolicyChange
  • AuditSystemEvents
  • SeCreateGlobalPrivilege
  • SeImpersonatePrivilege
  • SeLoadDriverPrivilege
  • SeShutdownPrivilege

En función de las opciones de configuración, la siguiente configuración también puede cambiar lo siguiente:

  • SeBatchLogonRight (solo SERVICIO LOCAL, no la cuenta de SUPPORT_388945a0)
  • SeServiceLogonRight