Jak obnovit práva uživatele v objektu Default Domain Controllers Group Policy

Překlady článku Překlady článku
ID článku: 267553 - Produkty, které se vztahují k tomuto článku.
Poznámka
Tento článek se týká systému Windows 2000. Podporu pro systém Windows 2000 končí na 13. července 2010.Windows 2000 End-of-Support Solution Center je výchozí bod pro plánování strategie přenesení ze systému Windows 2000. Další informace v tématu Microsoft Support Lifecycle Policy.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Default Domain Controllers Group Policy (objekt) obsahuje mnoho nastavení výchozí uživatelská práva. V některých případech změny výchozího nastavení může způsobit nežádoucí efekty. Výsledkem může být podmínku na uživatelská práva existovat neočekávané omezení. Pokud neočekávané změny nebo Pokud změny nebyly zaznamenány, takže Neznámý jaké změny byly provedeny, může být nezbytné obnovit jejich výchozí hodnoty těchto nastavení uživatelská práva.

Této situaci může také způsobit Pokud obsah složky SYSVOL byly ručně znovu vytvořit nebo obnovit ze zálohy pomocí postupů v následujícím článku databáze Microsoft Knowledge Base:
253268Zásady skupiny chybová zpráva chybí odpovídající SYSVOL obsah
Může být také nutné obnovit nastavení SeInteractiveLogonRight a SeDenyInteractiveLogonRight uživatelská práva na výchozí hodnoty, pokud při pokusu o přihlášení ke konzole řadiče domény se zobrazí následující chybová zpráva:
Místní zásady tohoto systému neumožňují interaktivní přihlašování

Další informace

Existují tři kroky potřebné k obnovení přiřazení uživatelských práv GPO:
  1. Přihlaste se k obnovení adresářové služby.
  2. Upravte soubor GptTmpl.inf.
  3. Zvýšit verze zásad skupiny (Tato změna je provedena v Gpt.ini).
  4. Použít nové zásady skupiny.
Poznámka: Buďte opatrní při provádění těchto kroků. Konfigurace šablony GPO nesprávně byste pravděpodobně nefunkčnost řadiče domény.
  1. Upravte soubor GptTmpl.inf. Nastavení uživatelských práv může obnovit výchozí hodnoty úpravou souboru GptTmpl.inf. Tento soubor je umístěn ve složce Zásady skupiny pod složky SYSVOL:
    sysvol path\sysvol\ domain name \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\ MACHINE \Microsoft\Windows NT\SecEdit
    Poznámka: Výchozí cesta složky Sysvol je %SystemRoot%\Sysvol

    Nahradit existující informace v souboru GptTmpl.inf zcela obnovit výchozí nastavení uživatelských práv, následující informace výchozí uživatelská práva. Kopírovat a vložit příslušné části níže do existující soubor GptTmpl.inf.

    Poznámka: nastavení oprávnění pro každou šablonu. Správnou šablonu použijte pro instalaci založené na nastavení požadované uživatelská práva.

    Poznámka: Společnost Microsoft důrazně doporučuje zálohování souboru GptTmpl.inf před provedením těchto změn.

    Oprávnění kompatibilní s uživatelé Pre-Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Poznámka: Pokud je nainstalována Internetová informační služba následující uživatelské účty musí připojit k uvedených již pro těchto práv:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    kde proměnnou % servername % je zástupný symbol a měli upravit jej tak, aby odpovídaly nastavení počítače.

    Příklad by vypadat například takto:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    nainstalována Poznámka Pokud Terminálová služba, následující uživatelský účet musí připojit k uvedených již pro toto právo:
       SeInteractiveLogonRight = TsInternetUser
    					
    příklad by vypadat například takto:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    - nebo tento-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Oprávnění kompatibilní pouze s uživatelé systému Windows 2000

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Poznámka: Pokud je nainstalována Internetová informační služba máte přidat následující uživatelská práva. Proměnná název_serveru je zástupný symbol a měli upravit jej tak, aby odpovídaly nastavení počítače:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    uložit a zavřít nový soubor GptTmpl.inf.


  2. Přírůstek verze zásady skupiny. Verze zásady skupiny Chcete-li zajistit, aby změny zachovány zásad nutné zvětšit. Soubor Gpt.ini řídí čísla verze Zásady skupiny šablony.
    1. Otevření souboru Gpt.ini z následujícího umístění:
      název domény \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9 \sysvol\ SYSVOL cesta}
    2. Zvýší číslo verze číslo velké zaručit, že normální replikace není provést číslo nové verze, stanou zastaralými před obnovit zásady. Je vhodnější zvýšit číslo přidáním buď číslo hodnotu 0, konec číslo verze nebo číslo "1" na začátek čísla verze.
    3. Uložte a zavřete soubor Gpt.ini.
  3. Použít nové zásady skupiny. Použít Secedit ručně aktualizovat zásady skupiny. To lze provést zadáním následující řádek na příkazovém řádku:
    secedit/refreshpolicy machine_policy / enforce
    V prohlížeči událostí zkontrolujte protokol aplikace pro číslo události "1704" ověřit šíření zásad úspěšné. Další informace o aktualizaci zásady skupiny klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    227448Vynucení opětovného použití zásad skupin pomocí nástroje Secedit.exe (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 267553 - Poslední aktualizace: 1. března 2007 - Revize: 4.5
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbmt kbgpo kbhowto KB267553 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:267553

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com