Listas de control de acceso a servicios
Última modificación del tema: 2005-05-02
Las plantillas GPO utilizan el lenguaje de definición de descriptores de seguridad (SDDL, Security Descriptor Definition Language) para aplicar permisos a servicios. Para obtener información acerca de SDDL, consulte "Security Descriptor Definition Language".
Los SDDL para los siguientes servicios de Exchange definidos en las plantillas de Exchange son: "D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)":
- MSExchangeES
- IMAP4Svc
- MSExchangeIS
- MSExchangeMGMT
- MSExchangeMTA
- RESvc
- MSExchangeSRS
- MSExchangeSA
- MSSEARCH
El SDDL establece los siguientes permisos:
- Usuarios autenticados: lectura
- Sistema: control total
- Administradores de Builtin: control total
- Auditorías de fallos en la entidad principal de seguridad Todos
Los SDDL definidos para los siguientes servicios en la plantilla "Enterprise Client – Member Server Baseline.inf" son heredados y no son óptimos para Exchange. Por tanto, los SDDL definidos para los siguientes servicios de las plantillas de Exchange serán los mismos que los específicos de Exchange ya definidos:
- POP3Svc
- W3Svc
- ISSAdmin
- SMTPSvc
- NNTPSvc
- HTTPFilter
- ClusSvc
Los SDDL definidos para el servicio MSDTC en la plantilla "Enterprise Client – Member Server Baseline.inf" son heredados y no son óptimos para Exchange. Por tanto, los SDDL definidos por la plantilla "Enterprise Client – Member Server Baseline" se modificarán levemente para las plantillas de Exchange. El servicio MSDTC se configurará con los siguientes SDDL:
"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPLORC;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
El SDDL establece los siguientes permisos:
- Usuarios autenticados: lectura
- Sistema: control total
- Administradores de Builtin: control total
- Auditorías de fallos en la entidad principal de seguridad Todos
- Servicios de red: escritura y permisos especiales
Los SDDL para los siguientes servicios de Windows se han copiado directamente de la plantilla "Enterprise Client - Member Server Baseline.inf" y se han aplicado de forma explícita:
- Winmgmt
- PolicyAgent
- RemoteRegistry