Zugriffssteuerungslisten für Dienste

  • Artikel

 

Letztes Änderungsdatum des Themas: 2005-05-02

Die GPO-Vorlagen weisen mithilfe von SDDL (Security Descriptor Definition Language) Diensten Berechtigungen zu. Weitere Informationen zu SDDL finden Sie unter „Security Descriptor Definition Language“.

Die in den Exchange-Vorlagen definierte SDDL für die folgenden Exchange-Dienste sind die folgenden: "D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)":

  • MSExchangeES
  • IMAP4Svc
  • MSExchangeIS
  • MSExchangeMGMT
  • MSExchangeMTA
  • RESvc
  • MSExchangeSRS
  • MSExchangeSA
  • MSSEARCH

Die SDDL legt Folgendes fest:

  • Authentifizierte Benutzer – Lesen
  • Systemkonto – Vollzugriff
  • Vordefinierte Administratoren – Vollzugriff
  • Überwachung auf Verstöße gegen das Sicherheitsprinzipal „Jeder“

Die für die folgenden Dienste in der Vorlage „Enterprise-Client – Member Server Baseline.inf“ definierte SDDL sind geerbt und für Exchange nicht optimal. Die für die folgenden Dienste in den Exchange-Vorlagen definierte SDDL ist die gleiche wie die oben definierte Exchange-spezifische SDDL:

  • POP3Svc
  • W3Svc
  • ISSAdmin
  • SMTPSvc
  • NNTPSvc
  • HTTPFilter
  • ClusSvc

Die für den MSDTC-Dienst in der Vorlage „Enterprise-Client – Member Server Baseline.inf“ definierte SDDL ist für Exchange nicht optimal. Daher wird die in der Vorlage „Enterprise Client – Member Server Baseline“ definierte SDDL für die Exchange-Vorlagen leicht verändert. Der MSDTC-Dienst wird mit der folgenden SDDL festgelegt:

"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPLORC;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Die SDDL legt Folgendes fest:

  • Authentifizierte Benutzer – Lesen
  • Systemkonto – Vollzugriff
  • Vordefinierte Administratoren – Vollzugriff
  • Überwachung auf Verstöße gegen das Sicherheitsprinzipal „Jeder“
  • Netzwerkdienste – Besondere und Schreibberechtigungen

Die SDDL für die folgenden Windows-Dienste wurden direkt aus der Vorlage „Enterprise Client - Member Server Baseline.inf“ kopiert und explizit angewendet:

  • Winmgmt
  • PolicyAgent
  • RemoteRegistry