服务访问控制列表

 

上一次修改主题: 2005-05-02

GPO 模板使用安全描述符定义语言 (SDDL) 对服务应用权限。有关 SDDL 的详细信息,请参阅“Security Descriptor Definition Language”(英文)。

Exchange 模板中为下列 Exchange 服务定义了 SDDL:"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)":

  • MSExchangeES
  • IMAP4Svc
  • MSExchangeIS
  • MSExchangeMGMT
  • MSExchangeMTA
  • RESvc
  • MSExchangeSRS
  • MSExchangeSA
  • MSSEARCH

SDDL 可设置下列条目:

  • 通过身份验证的用户 – 读取
  • 系统 – 完全控制
  • 内置管理员 – 完全控制
  • 对 Everyone 安全主体进行失败审核

“Enterprise Client – Member Server Baseline.inf”模板中为下列服务定义的 SDDL 是继承的,而不是对 Exchange 的优化。因此,Exchange 模板中为下列服务定义的 SDDL 与上面所定义的 Exchange 特定 SDDL 相同。

  • POP3Svc
  • W3Svc
  • ISSAdmin
  • SMTPSvc
  • NNTPSvc
  • HTTPFilter
  • ClusSvc

“Enterprise Client – Member Server Baseline.inf”模板中为 MSDTC 服务定义的 SDDL 不是对 Exchange 的优化。因此,“Enterprise Client – Member Server Baseline”模板所定义的 SDDL 将针对 Exchange 模板稍做修改。将使用以下 SDDL 来设置 MSDTC 服务:

"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPLORC;;;NS)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

SDDL 可设置下列条目:

  • 通过身份验证的用户 – 读取
  • 系统 – 完全控制
  • 内置管理员 – 完全控制
  • 对 Everyone 安全主体进行失败审核
  • 网络服务 – 写入和特殊权限

下列 Windows 服务的 SDDL 已经从“Enterprise Client - Member Server Baseline.inf”模板中直接复制并明确应用。

  • Winmgmt
  • PolicyAgent
  • RemoteRegistry
 
显示: