Средство Dcgpofix не восстанавливает параметры безопасности в политике контроллера домена по умолчанию в исходное состояние.
В этой статье объясняется, что средство Dcgpofix.exe повторно создает объекты по умолчанию групповая политика для домена и что лучше использовать это средство только в сценариях аварийного восстановления.
Применимо к: Все поддерживаемые версии Windows Server
Исходный номер базы знаний: 833783
Операция Dcpromo изменяет безопасность домена добавочным образом на основе существующих параметров безопасности на этом сервере. Таким образом, после запуска Dcpromo окончательный набор параметров безопасности в политике контроллера домена по умолчанию зависит от операции Dcpromo и состояния безопасности системы, которая существовала до запуска Dcpromo. Перед запуском Dcpromo состояние безопасности системы можно изменить с помощью нескольких механизмов. Например, при установке некоторых серверных приложений могут быть внесены изменения в права пользователя, предоставляемые локальным учетным записям пользователей, таким как учетная запись SUPPORT_388945a0.
Причина
Средство Dcgpofix не может знать, в каком состоянии находились параметры безопасности перед запуском Dcpromo. Поэтому средство Dcgpofix не может вернуть параметры безопасности в исходное состояние. Вместо этого средство Dcgpofix повторно создает два объектов групповой политики по умолчанию и создает параметры на основе операций, выполняемых только во время Dcpromo.
Если у вас есть новая установка Windows Server и перед запуском Dcpromo в операционной системе не внесены изменения в систему безопасности, то созданная dcgpofix политика контроллера домена по умолчанию будет почти такой же, как политика контроллера домена по умолчанию сразу после запуска Dcpromo. Однако в этом случае параметры политики контроллера домена по умолчанию будут отличаться.
Решение
Для общего резервного копирования и восстановления политики домена по умолчанию и политики контроллера домена по умолчанию, а также для других объектов групповой политики рекомендуется использовать консоль управления групповая политика (GPMC) для создания регулярных резервных копий этих объектов групповой политики. Затем можно использовать GPMC вместе с этими резервными копиями, чтобы восстановить точные параметры безопасности, содержащиеся в этих GPO.
Если вы находитесь в сценарии аварийного восстановления и у вас нет резервных копий версий политики домена по умолчанию или политики контроллера домена по умолчанию, вы можете использовать средство Dcgpofix. Если вы используете средство Dcgpofix, рекомендуется сразу после его запуска просмотреть параметры безопасности в этих объектов групповой политики и вручную настроить параметры безопасности в соответствии со своими требованиями. Исправление не планируется выпускать, так как мы рекомендуем использовать GPMC для резервного копирования и восстановления всех объектов групповой политики в вашей среде. Средство Dcgpofix — это средство аварийного восстановления, которое восстанавливает среду только в функциональном состоянии. Лучше не использовать его в качестве замены для стратегии резервного копирования с помощью GPMC. Средство Dcgpofix рекомендуется использовать только в том случае, если резервная копия объекта групповой политики для политики домена по умолчанию и политики контроллера домена по умолчанию не существует.
Дополнительная информация
В следующей таблице перечислены различия в параметрах безопасности в политике контроллера домена по умолчанию после запуска средства Dcgpofix и в параметрах новой установки Windows Server после запуска Dcpromo. Мы рекомендуем настроить эти параметры безопасности в соответствии с требованиями в вашей среде после запуска средства Dcgpofix.
| Параметр в политике контроллера домена по умолчанию | Значение после запуска DCPromo на чисто установленном сервере Windows Server | Значение после выполнения DCGPOFIX |
|---|---|---|
| Параметры аудита | ||
| Аудит управления учетными записями | Успешно | Нет аудита |
| Аудит доступа к службе каталогов | Успешно | Нет аудита |
| Изменение политики аудита | Успешно | Нет аудита |
| Аудит системных событий | Успешно | Нет аудита |
| Права пользователей | ||
| глобальные объекты Create | Не определен | SERVICE, администраторы |
| Запрет доступа к компьютеру из сети | SUPPORT_388945a0 | (Пустая) |
| Запрет входа в систему локально | SUPPORT_388945a0 | (Пустая) |
| Имитация клиента после проверки подлинности | Не определен | SERVICE, администраторы |
| Загрузка и выгрузка драйверов устройств | Администраторы, операторы печати | Администраторы |
| Вход с правами на пакетные задания | ЛОКАЛЬНАЯ СЛУЖБА, SUPPORT_388945a0 | (Пустая) |
| Вход в качестве службы | NETWORK SERVICE | (Пустая) |
| Завершение работы системы | Администраторы, операторы резервного копирования, операторы сервера, операторы печати | Операторы учетных записей, администраторы, операторы резервного копирования, операторы сервера, операторы печати |
После запуска средства Dcgpofix будут изменены следующие параметры:
- AuditAccountManage
- AuditDSAccess
- AuditPolicyChange
- AuditSystemEvents
- SeCreateGlobalPrivilege
- SeImpersonatePrivilege
- SeLoadDriverPrivilege
- SeShutdownPrivilege
В зависимости от параметров конфигурации следующие параметры также могут изменить следующее:
- SeBatchLogonRight (только ЛОКАЛЬНАЯ СЛУЖБА, а не учетная запись SUPPORT_388945a0)
- SeServiceLogonRight
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по