服务访问控制列表
上一次修改主题: 2005-05-02
GPO 模板使用安全描述符定义语言 (SDDL) 对服务应用权限。有关 SDDL 的详细信息,请参阅“Security Descriptor Definition Language”(英文)。
Exchange 模板中为下列 Exchange 服务定义了 SDDL:"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)":
- MSExchangeES
- IMAP4Svc
- MSExchangeIS
- MSExchangeMGMT
- MSExchangeMTA
- RESvc
- MSExchangeSRS
- MSExchangeSA
- MSSEARCH
SDDL 可设置下列条目:
- 通过身份验证的用户 – 读取
- 系统 – 完全控制
- 内置管理员 – 完全控制
- 对 Everyone 安全主体进行失败审核
“Enterprise Client – Member Server Baseline.inf”模板中为下列服务定义的 SDDL 是继承的,而不是对 Exchange 的优化。因此,Exchange 模板中为下列服务定义的 SDDL 与上面所定义的 Exchange 特定 SDDL 相同。
- POP3Svc
- W3Svc
- ISSAdmin
- SMTPSvc
- NNTPSvc
- HTTPFilter
- ClusSvc
“Enterprise Client – Member Server Baseline.inf”模板中为 MSDTC 服务定义的 SDDL 不是对 Exchange 的优化。因此,“Enterprise Client – Member Server Baseline”模板所定义的 SDDL 将针对 Exchange 模板稍做修改。将使用以下 SDDL 来设置 MSDTC 服务:
"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPLORC;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
SDDL 可设置下列条目:
- 通过身份验证的用户 – 读取
- 系统 – 完全控制
- 内置管理员 – 完全控制
- 对 Everyone 安全主体进行失败审核
- 网络服务 – 写入和特殊权限
下列 Windows 服务的 SDDL 已经从“Enterprise Client - Member Server Baseline.inf”模板中直接复制并明确应用。
- Winmgmt
- PolicyAgent
- RemoteRegistry