Listas de control de acceso a servicios

  • Artículo

 

Última modificación del tema: 2005-05-02

Las plantillas GPO utilizan el lenguaje de definición de descriptores de seguridad (SDDL, Security Descriptor Definition Language) para aplicar permisos a servicios. Para obtener información acerca de SDDL, consulte "Security Descriptor Definition Language".

Los SDDL para los siguientes servicios de Exchange definidos en las plantillas de Exchange son: "D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)":

  • MSExchangeES
  • IMAP4Svc
  • MSExchangeIS
  • MSExchangeMGMT
  • MSExchangeMTA
  • RESvc
  • MSExchangeSRS
  • MSExchangeSA
  • MSSEARCH

El SDDL establece los siguientes permisos:

  • Usuarios autenticados: lectura
  • Sistema: control total
  • Administradores de Builtin: control total
  • Auditorías de fallos en la entidad principal de seguridad Todos

Los SDDL definidos para los siguientes servicios en la plantilla "Enterprise Client – Member Server Baseline.inf" son heredados y no son óptimos para Exchange. Por tanto, los SDDL definidos para los siguientes servicios de las plantillas de Exchange serán los mismos que los específicos de Exchange ya definidos:

  • POP3Svc
  • W3Svc
  • ISSAdmin
  • SMTPSvc
  • NNTPSvc
  • HTTPFilter
  • ClusSvc

Los SDDL definidos para el servicio MSDTC en la plantilla "Enterprise Client – Member Server Baseline.inf" son heredados y no son óptimos para Exchange. Por tanto, los SDDL definidos por la plantilla "Enterprise Client – Member Server Baseline" se modificarán levemente para las plantillas de Exchange. El servicio MSDTC se configurará con los siguientes SDDL:

"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPLORC;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

El SDDL establece los siguientes permisos:

  • Usuarios autenticados: lectura
  • Sistema: control total
  • Administradores de Builtin: control total
  • Auditorías de fallos en la entidad principal de seguridad Todos
  • Servicios de red: escritura y permisos especiales

Los SDDL para los siguientes servicios de Windows se han copiado directamente de la plantilla "Enterprise Client - Member Server Baseline.inf" y se han aplicado de forma explícita:

  • Winmgmt
  • PolicyAgent
  • RemoteRegistry