HOW TO:重置默认域组策略中的用户权限

文章翻译 文章翻译
文章编号: 226243 - 查看本文应用于的产品
本文的发布号曾为 CHS226243
展开全部 | 关闭全部

本文内容

概要

默认域“组策略对象”(GPO) 中包含许多默认的用户权限设置。在某些情况下,更改默认设置可能会产生不希望出现的效果。这可能会导致出现对用户权限形成意外限制的情况。如果更改不是您所期望的,或者因为对所做的更改未作记录而不知道做了哪些更改,则可能有必要将用户权限设置重置为默认值。

如果 Sysvol 文件夹的内容被手动重新编辑,或者是使用下面这一 Microsoft 知识库文章中包括的步骤从某一备份还原的,则也可能出现这一情况:
CHS253268 丢失适当的 Sysvol 内容时出现组策略错误消息
本文介绍如何重置默认域 GPO 中的用户权限。警告:执行下列步骤时一定要小心,因为不正确地配置 GPO 模板可能会使您的域控制器无法运行。

重置默认域 GPO 的用户权限指派

  1. 编辑 Gpttmpl.inf 文件以重置默认用户权限设置。注意 Sysvol 文件夹的默认路径是 %SystemRoot%\sysvol,Gpttmpl.inf 文件位于下面这一文件夹中:
    sysvol path \Sysvol\ domain name \Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit
    警告:在执行下列步骤之前,应制作 Gpttmpl.inf 文件的备份。

    备注:执行下列步骤后的权限设置与那些与 Windows 2000 之前的用户兼容的权限以及那些仅与 Windows 2000 用户兼容的权限完全相同。

    为将用户权限完全重置为默认设置,请将 Gpttmpl.inf 文件中的现有信息替换为以下默认用户权限信息,您可以将此信息复制并粘贴到当前 Gpttmpl.inf 文件适当的部分:
    [Unicode]
    Unicode=yes
    [System Access]
    MinimumPasswordAge = 0
    MaximumPasswordAge = 42
    MinimumPasswordLength = 0
    PasswordComplexity = 0
    PasswordHistorySize = 1
    LockoutBadCount = 0
    RequireLogonToChangePassword = 0
    ForceLogoffWhenHourExpire = 0
    ClearTextPassword = 0
    [Kerberos Policy]
    MaxTicketAge = 10
    MaxRenewAge = 7
    MaxServiceAge = 600
    MaxClockSkew = 5
    TicketValidateClient = 1
    [Version]
    signature="$CHICAGO$"
    Revision=1
    请注意,以上信息是默认的 Gpttmpl.inf 内容,您必须在更改后将更改保存到 Gpttmpl.inf 文件。
  2. 提高组策略版本号以确保所做的策略更改可以得到保留,方法是:打开“组策略”编辑器,作更改,然后关闭“组策略”编辑器。Gpt.ini 文件控制着组策略的版本号。如要手动提高组策略版本号,请按下列步骤操作:
    1. 从以下位置打开 Gpt.ini 文件:
      sysvol 路径\sysvol\域名\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
    2. 将版本提高到一个足够高的编号,以确保正常的复制不会在策略被重置前就使新的版本号过时。注意,提高版本号可取的做法是,将数字“0”添加到版本号的末尾,或将数字“1”添加到版本号的开头。
    3. 保存并关闭 Gpt.ini 文件。
  3. 使用 Secedit 工具手动刷新组策略以应用该新的组策略。为此,请在命令提示符下键入 secedit /refreshpolicy machine_policy /enforce,然后按 ENTER 键。使用前面的命令后,在事件查看器中查看“应用程序日志”中的 Event 1704,以确认策略传播是否成功。




参考

有关刷新组策略的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
227448 Using Secedit.exe to Force Group Policy to Be Applied Again(使用 Secedit.exe 再次强制应用组策略)

属性

文章编号: 226243 - 最后修改: 2004年3月10日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbhowtomaster kbtool kbnetwork KB226243
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com