Сброс параметров безопасности в используемом по умолчанию объекте групповой политики (GPO) домена в Windows 2000

Переводы статьи Переводы статьи
Код статьи: 226243 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В используемом по умолчанию объекте групповой политики (GPO) домена содержится множество параметров безопасности по умолчанию. Иногда изменение параметров по умолчанию может привести к нежелательным результатам. Также нежелательный результат может быть получен, если содержимое папки Sysvol было изменено вручную или восстановлено из резервной копии.

В данной статье рассматривается сброс параметров безопасности используемого по умолчанию GPO домена. Параметры политики безопасности по умолчанию можно сбросить при помощи изменения файла Gpttmpl.inf, располагающегося в папке Sysvol.

Это следует делать осторожно. Повреждение файла Gpttmpl.inf file может привести к неработоспособности контроллера домена. После выполнения этой операции все настройки параметров используемого по умолчанию GPO домена будут утеряны, и потребуется вновь настраивать и применять требуемые параметры.

ВВЕДЕНИЕ

Эта статья содержит пошаговые указания по сбросу значений по умолчанию для параметров безопасности GPO домена. GPO домена использует шаблон и включает, по умолчанию, только те параметры по умолчанию, которые относятся к политике учетных записей. Изначально другие параметры не включаются. Изменить данные параметры по умолчанию можно, изменяя с помощью редактора объектов групповой политики отдельные параметры в контейнере «Параметры безопасности» в «Конфигурация компьютера\Конфигурация Windows».

Иногда изменение параметров по умолчанию или включение и выключение других параметров может привести к нежелательным результатам, например к возникновению непредвиденных ограничений для учетных записей пользователей. Если изменения были непреднамеренными или не были записаны (то есть при невозможности выяснить, какие именно изменения были произведены), может оказаться целесообразным восстановить исходные значения параметров безопасности.

Данная ситуация может также возникнуть в случае, если содержимое папки Sysvol было изменено вручную или восстановлено из резервной копии с помощью операций, описанных в статье 253268 базы знаний Майкрософт: Для получения дополнительных сведений см. следующую статью базы знаний Майкрософт:
253268 Сообщение об ошибке групповой политики при отсутствии соответствующего содержимого папки Sysvol (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Сброс параметров по умолчанию в файле Gpttmpl.inf

Внимание! Будьте осторожны при выполнении следующей операции, так как неправильная настройка шаблона объекта групповой политики может привести к неработоспособности контроллера домена. Перед выполнением этих действий необходимо сделать резервную копию файла Gpttmpl.inf. Также необходимо исправить файл Gpttmpl.inf с указанным идентификатором GUID или по указанному пути. Для другого идентификатора GUID имеется похожий файл Gpttmpl.inf, управляющий пользовательскими параметрами групповой политики контроллера домена.
  1. Войдите в режим восстановления служб каталогов.
  2. Откройте файл Gpttmpl.inf в текстовом редакторе (например «Блокнот»). Данный файл располагается в следующей папке, где путь_к_папке_sysvol является путем к папке Sysvol. По умолчанию путь к папке Sysvol – %SystemRoot@\Sysvol.
    путь_к_папке_sysvol\имя_домена\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit
  3. Для полного сброса параметров безопасности на значения по умолчанию замените имеющуюся в файле Gpttmpl.inf информацию приведенной ниже, копируя и вставляя ее в текущий файл Gpttmpl.inf:
    [Unicode]
    Unicode=yes
    [System Access]
    MinimumPasswordAge = 0
    MaximumPasswordAge = 42
    MinimumPasswordLength = 0
    PasswordComplexity = 0
    PasswordHistorySize = 1
    LockoutBadCount = 0
    RequireLogonToChangePassword = 0
    ForceLogoffWhenHourExpire = 0
    ClearTextPassword = 0
    [Kerberos Policy]
    MaxTicketAge = 10
    MaxRenewAge = 7
    MaxServiceAge = 600
    MaxClockSkew = 5
    TicketValidateClient = 1
    [Version]
    signature="$CHICAGO$"
    Revision=1
  4. Сохраните файл Gpttmpl.inf.

Увеличьте версию GPO

Увеличьте версию GPO, чтобы убедиться, что изменения сохранены. Для этого можно использовать любой из перечисленных способов.
  • Способ 1. Воспользуйтесь редактором объектов групповой политики (Group Policy Object Editor)
    1. Откройте редактор объектов групповой политики.
    2. Внесите изменения.
    3. Закройте редактор объектов групповой политики.
  • Способ 2. Исправьте файл Gpt.ini вручную

    Чтобы вручную увеличить версию GPO, исправьте файл Gpt.ini, управляющий номерами версий шаблона групповой политики. Для этого выполните следующие действия:
    1. Откройте файл Gpt.ini в текстовом редакторе (например «Блокнот»). Этот файл располагается в следующей папке, где путь_к_папке_sysvol является путем к папке Sysvol. По умолчанию путь к папке Sysvol – %SystemRoot@\Sysvol.
      путь_к_папке_sysvol\имя_домена\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
    2. Увеличьте номер версии таким образом, чтобы при нормальной репликации новый номер версии не оказался устаревшим до сброса политики. Для этого рекомендуется добавить 0 к концу номера версии или 1 к началу номера версии.
    3. Сохраните файл Gpt.ini file, затем закройте его.

Примените новый объект групповой политики (GPO)

Примените новый объект групповой политики (GPO) с помощью средства Secedit для обновления GPO вручную. Для этого введите в командной строке secedit /refreshpolicy machine_policy /enforce и нажмите клавишу ENTER. Затем проверьте в окне просмотра событий, что в журнале событий есть событие с кодом 1704, чтобы убедиться, что политика успешно применена.

Примечание. После выполнения данной операции предыдущие значения параметров групповой политики будут удалены. Необходимо вновь настроить и применить требуемые параметры с помощью редактора объектов групповой политики.

Ссылки

Для получения дополнительных сведений об обновлении параметров групповой политики см. следующую статью базы знаний Майкрософт:
227448 Повторное применение групповой политики с помощью средства Secedit.exe (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Для получения дополнительных сведений о сбросе прав пользователя для объекта групповой политики, используемого контроллером домена по умолчанию, см. следующую статью базы знаний Майкрософт:
267553 Восстановление исходных настроек прав пользователей для объекта групповой политики, используемого контроллером домена по умолчанию

Свойства

Код статьи: 226243 - Последний отзыв: 18 августа 2006 г. - Revision: 4.2
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbhowtomaster kbnetwork KB226243

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com