Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica que la herramienta Dcgpofix.exe vuelve a crear los objetos de directiva de grupo (GPO) predeterminados para un dominio y que es mejor usar esta herramienta solo en escenarios de recuperación ante desastres.
Se aplica a: Todas las versiones compatibles de Windows Server
Número de KB original: 833783
La operación Dcpromo modifica la seguridad de un dominio de forma incremental, en función de la configuración de seguridad existente en ese servidor. Por lo tanto, después de ejecutar Dcpromo, el conjunto final de la configuración de seguridad en la directiva predeterminada del controlador de dominio depende de la operación dcpromo y del estado de seguridad del sistema que existía antes de ejecutar Dcpromo. Antes de ejecutar Dcpromo, el estado de seguridad del sistema se puede modificar mediante varios mecanismos. Por ejemplo, al instalar algunas aplicaciones de servidor, se pueden realizar cambios en los derechos de usuario que se conceden a las cuentas de usuario locales, como la cuenta de SUPPORT_388945a0.
Causa
La herramienta Dcgpofix no puede saber en qué estado se encontraba la configuración de seguridad antes de ejecutar Dcpromo. Por lo tanto, la herramienta Dcgpofix no puede devolver la configuración de seguridad a exactamente el estado original. En su lugar, la herramienta Dcgpofix vuelve a crear los dos GPO predeterminados y crea la configuración en función de las operaciones que se realizan solo durante Dcpromo.
Si tiene una nueva instalación de Windows Server y no se realizan cambios de seguridad en el sistema operativo antes de ejecutar Dcpromo, la directiva de controlador de dominio predeterminada creada por Dcgpofix será casi la misma que la directiva de controlador de dominio predeterminada justo después de ejecutar Dcpromo. Sin embargo, habrá algunas diferencias en la configuración de la directiva predeterminada del controlador de dominio en este caso.
Solución
Para la copia de seguridad y restauración generales de la directiva de dominio predeterminada y la directiva de controlador de dominio predeterminada, y también para otros GPO, se recomienda usar la Consola de administración de directivas de grupo (GPMC) para crear copias de seguridad periódicas de estos GPO. A continuación, puede usar GPMC junto con estas copias de seguridad para restaurar la configuración de seguridad exacta contenida en estos GPO.
Si está en un escenario de recuperación ante desastres y no tiene ninguna versión de copia de seguridad de la directiva de dominio predeterminada o la directiva de controlador de dominio predeterminada, puede considerar el uso de la herramienta Dcgpofix. Si usa la herramienta Dcgpofix, se recomienda que en cuanto la ejecute, revise la configuración de seguridad en estos GPO y ajuste manualmente la configuración de seguridad para satisfacer sus requisitos. No se ha programado que se publique una corrección porque se recomienda usar GPMC para realizar copias de seguridad y restaurar todos los GPO del entorno. La herramienta Dcgpofix es una herramienta de recuperación ante desastres que restaurará el entorno solo a un estado funcional. Es mejor no usarlo como reemplazo de una estrategia de copia de seguridad mediante GPMC. Es mejor usar la herramienta Dcgpofix solo cuando no existe una copia de seguridad de GPO para la directiva de dominio predeterminada y la directiva de controlador de dominio predeterminada.
Más información
En la tabla siguiente se enumeran las diferencias en la configuración de seguridad de la directiva predeterminada del controlador de dominio después de ejecutar la herramienta Dcgpofix y la configuración en una nueva instalación de Windows Server después de ejecutar Dcpromo. Se recomienda ajustar esta configuración de seguridad para que coincida con los requisitos de su entorno después de ejecutar la herramienta Dcgpofix.
| Establecer en la directiva predeterminada del controlador de dominio | Valor después de ejecutar DCPromo en Windows Server instalado limpiamente | Valor después de ejecutar DCGPOFIX |
|---|---|---|
| Configuración de auditoría | ||
| Auditoría de la administración de cuentas | Correcto | Sin auditoría |
| Auditar el acceso del servicio de directorio | Correcto | Sin auditoría |
| Cambio de directiva de auditoría | Correcto | Sin auditoría |
| Auditar eventos del sistema | Correcto | Sin auditoría |
| Derechos de usuario | ||
| Crear objetos globales | No definida | SERVICE, Administradores |
| Denegar el acceso al equipo desde la red | SUPPORT_388945a0 | (Vacío) |
| Denegar inicio de sesión localmente | SUPPORT_388945a0 | (Vacío) |
| Suplantar un cliente después de autenticación | No definida | SERVICE, Administradores |
| Cargar y descargar controladores de dispositivo | Administradores, Operadores de impresión | Administradores |
| Inicio de sesión como trabajo por lotes | SERVICIO LOCAL, SUPPORT_388945a0 | (Vacío) |
| Iniciar sesión como servicio | SERVICIO DE RED | (Vacío) |
| Apagar el sistema | Administradores, operadores de copia de seguridad, operadores de servidor, operadores de impresión | Operadores de cuenta, administradores, operadores de copia de seguridad, operadores de servidor, operadores de impresión |
La siguiente configuración cambiará después de ejecutar la herramienta Dcgpofix:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
En función de las opciones de configuración, la siguiente configuración también puede cambiar lo siguiente:
- SeBatchLogonRight (solo SERVICIO LOCAL, no la cuenta de SUPPORT_388945a0)
- SeServiceLogonRight