Cómo restablecer la configuración de seguridad en el GPO de dominio predeterminado en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 226243 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

El objeto de directiva de grupo (GPO) de dominio predeterminado contiene varias opciones de configuración de seguridad predeterminadas. En algunos casos, al cambiar la configuración predeterminada, se pueden generar efectos no deseados. Los efectos no deseados también pueden producirse si el contenido de la carpeta Sysvol se vuelve a generar manualmente o se restaura a partir de una copia de seguridad.

En este artículo se describe cómo restablecer la configuración de seguridad en el GPO de dominio predeterminado. La configuración de la directiva de seguridad predeterminada se restablece modificando el archivo Gpttmpl.inf que se encuentra en la carpeta Sysvol.

Esto se debe hacer con precaución. Si el archivo Gpttmpl.inf se daña, puede provocar que el controlador de dominio quede inoperable. Cuando complete este procedimiento, se perderá cualquier valor configurado en el GPO de dominio predeterminado y tendrá que volver a configurar y aplicar la configuración necesaria.

INTRODUCCIÓN

Este artículo paso a paso describe cómo restablecer la configuración de seguridad predeterminada en el GPO de dominio. El GPO de dominio utiliza una plantilla y, de forma predeterminada, habilita los valores de seguridad predeterminados relacionados con la directiva de cuenta únicamente. Ninguno de los otros valores están habilitados inicialmente. Puede cambiar esta configuración predeterminada utilizando el Editor de objetos de directiva de grupo para modificar el valor individual en el contenedor Configuración de seguridad, bajo Administración del equipo\Configuración de Windows.

A veces, si se cambia la configuración predeterminada o se habilitan o deshabilitan otros valores, se pueden generar efectos no deseados. Esto puede provocar una condición en la que haya restricciones inesperadas en las cuentas de usuario. Si los cambios son inesperados o no se grabaron de manera que se pueda saber cuáles eran, quizás sea necesario restablecer la configuración de seguridad predeterminada.

Esta situación también puede provocarse si se reconstruye manualmente el contenido de la carpeta Sysvol, o si lo restaura desde una copia de seguridad utilizando el procedimiento que se explica en el artículo 253268 de Microsoft Knowledge Base: Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
253268 Aparece un mensaje de error de Directiva de grupo cuando falta contenido apropiado de Sysvol

Restablecer la configuración predeterminada en el archivo Gpttmpl.inf

Advertencia: tenga precaución al realizar el procedimiento siguiente porque si configura incorrectamente la plantilla GPO puede provocar que el controlador de dominio quede inoperable. Antes de seguir estos pasos, debe realizar una copia de seguridad del archivo Gpttmpl.inf. También debe asegurarse de modificar el archivo Gpttmpl.inf que está debajo de este GUID o ruta de acceso concretos. Debajo de otro GUID hay un archivo Gpttmpl.inf similar que controla los valores de usuario de la configuración de directiva de grupo en el controlador de dominio.
  1. Inicie sesión en el modo de restauración de servicios de directorio.
  2. Abra el archivo Gpttmpl.inf con un procesador de textos, como el Bloc de notas. Este archivo se encuentra en la carpeta siguiente, donde rutaDeAcceso de sysvol es la ruta de acceso de su carpeta Sysvol. La ruta de acceso predeterminada de la carpeta Sysvol es%SystemRoot%\Sysvol.
    rutaDeAcceso de sysvol\nombreDeDominio\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit
  3. Para restablecer completamente la configuración de seguridad predeterminada, reemplace la información existente en el archivo Gpttmpl.inf con la información predeterminada siguiente que puede copiar y pegar en su archivo Gpttmpl.inf actual:
    [Unicode]
    Unicode=yes
    [System Access]
    MinimumPasswordAge = 0
    MaximumPasswordAge = 42
    MinimumPasswordLength = 0
    PasswordComplexity = 0
    PasswordHistorySize = 1
    LockoutBadCount = 0
    RequireLogonToChangePassword = 0
    ForceLogoffWhenHourExpire = 0
    ClearTextPassword = 0
    [Kerberos Policy]
    MaxTicketAge = 10
    MaxRenewAge = 7
    MaxServiceAge = 600
    MaxClockSkew = 5
    TicketValidateClient = 1
    [Version]
    signature="$CHICAGO$"
    Revision=1
  4. Guarde el archivo Gpttmpl.inf.

Incrementar la versión del GPO

Incremente la versión del GPO para asegurarse de que se mantienen los cambios de la directiva. Para ello, utilice uno de los métodos siguientes.
  • Método 1: use el Editor de objetos de directiva de grupo
    1. Abra el Editor de objetos de directiva de grupo.
    2. Realice un cambio.
    3. Cierre el Editor de objetos de directiva de grupo.
  • Método 2: modifique manualmente el archivo Gpt.ini

    Para aumentar manualmente la versión del GPO, modifique el archivo Gpt.ini que controla los números de versión de la plantilla de directiva de grupo. Para ello:
    1. Abra el archivo Gpt.ini con un procesador de textos, como el Bloc de notas. Este archivo se encuentra en la carpeta siguiente, donde rutaDeAcceso de sysvol es la ruta de acceso de su carpeta Sysvol. La ruta de acceso predeterminada de la carpeta Sysvol es%SystemRoot%\Sysvol.
      rutaDeAcceso de sysvol\nombreDeDominio\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
    2. Aumente el número versión para que sea lo suficientemente grande como para garantizar que la replicación normal no hará que el nuevo número de versión se quede anticuado antes de que la directiva se pueda restablecer. Es mejor incrementar el número agregando el número "0" al final del número de versión o el número "1" al principio.
    3. Guarde y cierre el archivo Gpt.ini.

Aplicar el nuevo GPO

Aplique el nuevo GPO utilizando la herramienta Secedit para actualizarlo manualmente. Para ello, en el símbolo del sistema, escriba secedit /refreshpolicy machine_policy /enforce y presione ENTRAR. Después, busque el número de suceso 1704 en el registro de aplicación, en el Visor de sucesos, para comprobar que la propagación de la directiva es correcta.

Nota: después de realizar este procedimiento, se quitará su configuración de directiva de grupo configurada previamente. Tiene que volver a configurar y aplicar esta configuración con el Editor de objetos de directiva de grupo.

Referencias

Para obtener más información acerca de cómo actualizar la configuración de directiva de grupo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
227448 Utilizar Secedit.exe para forzar que Directiva de grupo se vuelva a aplicar
Para obtener más información sobre cómo restablecer los derechos de usuario en el GPO de controladores de dominio predeterminado, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
267553 Cómo restablecer los derechos de usuario en el objeto de directiva de grupo predeterminada de controladores de dominio

Propiedades

Id. de artículo: 226243 - Última revisión: miércoles, 13 de junio de 2007 - Versión: 4.3
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbhowtomaster kbnetwork KB226243

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com