Zugriffssteuerungslisten für Dienste
Letztes Änderungsdatum des Themas: 2005-05-02
Die GPO-Vorlagen weisen mithilfe von SDDL (Security Descriptor Definition Language) Diensten Berechtigungen zu. Weitere Informationen zu SDDL finden Sie unter „Security Descriptor Definition Language“.
Die in den Exchange-Vorlagen definierte SDDL für die folgenden Exchange-Dienste sind die folgenden: "D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)":
- MSExchangeES
- IMAP4Svc
- MSExchangeIS
- MSExchangeMGMT
- MSExchangeMTA
- RESvc
- MSExchangeSRS
- MSExchangeSA
- MSSEARCH
Die SDDL legt Folgendes fest:
- Authentifizierte Benutzer – Lesen
- Systemkonto – Vollzugriff
- Vordefinierte Administratoren – Vollzugriff
- Überwachung auf Verstöße gegen das Sicherheitsprinzipal „Jeder“
Die für die folgenden Dienste in der Vorlage „Enterprise-Client – Member Server Baseline.inf“ definierte SDDL sind geerbt und für Exchange nicht optimal. Die für die folgenden Dienste in den Exchange-Vorlagen definierte SDDL ist die gleiche wie die oben definierte Exchange-spezifische SDDL:
- POP3Svc
- W3Svc
- ISSAdmin
- SMTPSvc
- NNTPSvc
- HTTPFilter
- ClusSvc
Die für den MSDTC-Dienst in der Vorlage „Enterprise-Client – Member Server Baseline.inf“ definierte SDDL ist für Exchange nicht optimal. Daher wird die in der Vorlage „Enterprise Client – Member Server Baseline“ definierte SDDL für die Exchange-Vorlagen leicht verändert. Der MSDTC-Dienst wird mit der folgenden SDDL festgelegt:
"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPLORC;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Die SDDL legt Folgendes fest:
- Authentifizierte Benutzer – Lesen
- Systemkonto – Vollzugriff
- Vordefinierte Administratoren – Vollzugriff
- Überwachung auf Verstöße gegen das Sicherheitsprinzipal „Jeder“
- Netzwerkdienste – Besondere und Schreibberechtigungen
Die SDDL für die folgenden Windows-Dienste wurden direkt aus der Vorlage „Enterprise Client - Member Server Baseline.inf“ kopiert und explizit angewendet:
- Winmgmt
- PolicyAgent
- RemoteRegistry