Lo strumento Dcgpofix non ripristina lo stato originale delle impostazioni di sicurezza nei criteri controller di dominio predefiniti
Questo articolo spiega che lo strumento Dcgpofix.exe ricrea l'oggetto oggetti Criteri di gruppo predefinito per un dominio e che è consigliabile usare questo strumento solo negli scenari di ripristino di emergenza.
Si applica a: Tutte le versioni supportate di Windows Server
Numero KB originale: 833783
L'operazione Dcpromo modifica la sicurezza di un dominio in modo incrementale, in base alle impostazioni di sicurezza esistenti in tale server. Pertanto, dopo aver eseguito Dcpromo, il set finale di impostazioni di sicurezza nei criteri controller di dominio predefiniti dipende sia dall'operazione Dcpromo che dallo stato di sicurezza del sistema esistente prima dell'esecuzione di Dcpromo. Prima di eseguire Dcpromo, lo stato di sicurezza del sistema può essere modificato da una serie di meccanismi. Ad esempio, quando si installano alcune applicazioni server, è possibile apportare modifiche ai diritti utente concessi agli account utente locali, ad esempio l'account SUPPORT_388945a0.
Causa
Lo strumento Dcgpofix non è in grado di sapere in quale stato erano presenti le impostazioni di sicurezza prima di eseguire Dcpromo. Di conseguenza, lo strumento Dcgpofix non può restituire le impostazioni di sicurezza esattamente allo stato originale. Lo strumento Dcgpofix ricrea invece i due oggetti Criteri di gruppo predefiniti e crea le impostazioni in base alle operazioni eseguite solo durante Dcpromo.
Se si dispone di una nuova installazione di Windows Server e non vengono apportate modifiche di sicurezza al sistema operativo prima di eseguire Dcpromo, i criteri del controller di dominio predefiniti creati da Dcgpofix saranno quasi identici ai criteri controller di dominio predefiniti subito dopo l'esecuzione di Dcpromo. In questo caso, tuttavia, ci saranno alcune differenze nelle impostazioni dei criteri del controller di dominio predefiniti.
Risoluzione
Per il backup e il ripristino generali dei criteri di dominio predefiniti e dei criteri del controller di dominio predefiniti e anche per altri oggetti Criteri di gruppo, è consigliabile usare la Console gestione Criteri di gruppo per creare backup regolari di questi oggetti Criteri di gruppo. È quindi possibile usare Gestione Criteri di gruppo insieme a questi backup per ripristinare le impostazioni di sicurezza esatte contenute in questi oggetti Criteri di gruppo.
Se si è in uno scenario di ripristino di emergenza e non si dispone di versioni di cui è stato eseguito il backup dei criteri di dominio predefiniti o dei criteri del controller di dominio predefiniti, è possibile usare lo strumento Dcgpofix. Se si usa lo strumento Dcgpofix, è consigliabile esaminare le impostazioni di sicurezza in questi oggetti Criteri di gruppo non appena viene eseguito e modificare manualmente le impostazioni di sicurezza in base alle proprie esigenze. Non è pianificata la versione di una correzione perché è consigliabile usare Gestione Criteri di gruppo per eseguire il backup e il ripristino di tutti gli oggetti Criteri di gruppo nell'ambiente. Lo strumento Dcgpofix è uno strumento di ripristino di emergenza che ripristina solo lo stato funzionale dell'ambiente. È consigliabile non usarlo come sostituzione di una strategia di backup tramite Console Gestione Criteri di gruppo. È consigliabile usare lo strumento Dcgpofix solo quando non esiste un backup dell'oggetto Criteri di gruppo per i criteri di dominio predefiniti e i criteri del controller di dominio predefiniti.
Ulteriori informazioni
La tabella seguente elenca le differenze nelle impostazioni di sicurezza nei criteri controller di dominio predefiniti dopo aver eseguito lo strumento Dcgpofix e le impostazioni in una nuova installazione di Windows Server dopo l'esecuzione di Dcpromo. È consigliabile modificare queste impostazioni di sicurezza in modo che corrispondano ai requisiti dell'ambiente dopo l'esecuzione dello strumento Dcgpofix.
| Impostazione nei criteri controller di dominio predefiniti | Valore dopo l'esecuzione di DCPromo in Windows Server installato in modo pulito | Valore dopo l'esecuzione di DCGPOFIX |
|---|---|---|
| Impostazioni di controllo | ||
| Audit Account Management | Esito positivo | Nessun controllo |
| Controllare l'accesso al servizio directory | Esito positivo | Nessun controllo |
| Modifica dei criteri di controllo | Esito positivo | Nessun controllo |
| Eventi di sistema di controllo | Esito positivo | Nessun controllo |
| Diritti utente | ||
| oggetti globali Create | Non definito | SERVICE, Administrators |
| Negare l'accesso al computer dalla rete | SUPPORT_388945a0 | (Vuoto) |
| Nega accesso in locale | SUPPORT_388945a0 | (Vuoto) |
| Rappresenta un client dopo l'autenticazione | Non definito | SERVICE, Administrators |
| Caricare e scaricare i driver di dispositivo | Amministratori, operatori di stampa | Amministratori |
| Accesso come processo batch | SERVIZIO LOCALE, SUPPORT_388945a0 | (Vuoto) |
| Accedi come servizio | NETWORK SERVICE | (Vuoto) |
| Arrestare il sistema | Amministratori, operatori di backup, operatori del server, operatori di stampa | Operatori account, amministratori, operatori di backup, operatori del server, operatori di stampa |
Le impostazioni seguenti cambieranno dopo l'esecuzione dello strumento Dcgpofix:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
In base alle opzioni di configurazione, le impostazioni seguenti possono anche modificare quanto segue:
- SeBatchLogonRight (solo SERVIZIO LOCALE, non l'account SUPPORT_388945a0)
- SeServiceLogonRight
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per