Cómo restablecer los derechos de usuario en el objeto de directiva de grupo predeterminada de controladores de dominio

Seleccione idioma Seleccione idioma
Id. de artículo: 267553 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

El objeto de directiva de grupo (GPO) predeterminada de controladores de dominio contiene muchas opciones de derechos de usuario predeterminadas. En algunos casos, al cambiar la configuración predeterminada, se pueden generar efectos indeseables. Esto puede producir una condición en la que haya restricciones inesperadas en los derechos de usuario. Si los cambios no son los esperados o no se grabaron de tal manera que se pueda saber los cambios realizados, quizás sea necesario restablecer la configuración predeterminada de los derechos de usuario.

Esta situación también puede producirse si el contenido de la carpeta Sysvol se reconstruye manualmente o se restaura desde una copia de seguridad utilizando los procedimientos que se incluyen en el siguiente artículo de Microsoft Knowledge Base:
253268 Aparece un mensaje de error de Directiva de grupo cuando falta contenido apropiado de Sysvol
También puede ser necesario restablecer la configuración predeterminada de los valores de derechos de usuario SeInteractiveLogonRight y SeDenyInteractiveLogonRight si recibe el mensaje de error siguiente al intentar iniciar sesión en la consola del controlador de dominio:
Las directivas locales de este sistema no le permiten iniciar una sesión interactiva

Más información

Hay que seguir tres pasos para restablecer las asignaciones de los derechos de usuario del GPO:
  1. Iniciar sesión en el modo de restauración de servicios de directorio.
  2. Modifique el archivo GptTmpl.inf.
  3. Incremente la versión de la directiva de grupo (este cambio se realiza en Gpt.ini).
  4. Aplique la nueva directiva de grupo.
Nota
Tenga cuidado al realizar estos pasos. Si configura incorrectamente la plantilla de GPO, puede dejar inservibles los controladores de dominio.
  1. Modifique el archivo GptTmpl.inf. La configuración predeterminada de Derechos de usuario se puede restablecer modificando el archivo GptTmpl.inf. Este archivo se encuentra en la carpeta Group Policy debajo de la carpeta Sysvol:
    ruta de acceso de sysvol\sysvol\nombre de dominio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
    Nota
    La ruta de acceso predeterminada de la carpeta Sysvol es %SystemRoot%\Sysvol

    Para restablecer completamente la configuración predeterminada de los derechos de usuario, sustituya la información existente en el archivo GptTmpl.inf por la siguiente información predeterminada. Puede copiar y pegar después la sección siguiente que corresponda en el archivo GptTmpl.inf.

    Anote la configuración de los permisos de cada plantilla. Debería utilizar la plantilla correcta para su instalación según la configuración de derechos de usuario que desee.

    Nota
    Microsoft recomienda encarecidamente hacer una copia de seguridad del archivo GptTmpl.inf antes de realizar estos cambios.

    Permisos para usuarios de sistemas anteriores a Windows 2000

       [Unicode] Unicode=yes [Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 0 AuditObjectAccess = 0 AuditPrivilegeUse = 0 AuditPolicyChange = 0 AuditAccountManage = 0 AuditProcessTracking = 0 AuditDSAccess = 0 AuditAccountLogon = 0 [Privilege Rights] SeAssignPrimaryTokenPrivilege = SeAuditPrivilege = SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544 SeBatchLogonRight = SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0 SeCreatePagefilePrivilege = *S-1-5-32-544 SeCreatePermanentPrivilege = SeCreateTokenPrivilege = SeDebugPrivilege = *S-1-5-32-544 SeIncreaseBasePriorityPrivilege = *S-1-5-32-544 SeIncreaseQuotaPrivilege = *S-1-5-32-544 SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544 SeLoadDriverPrivilege = *S-1-5-32-544 SeLockMemoryPrivilege = SeMachineAccountPrivilege = *S-1-5-11 SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0 SeProfileSingleProcessPrivilege = *S-1-5-32-544 SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544 SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544 SeSecurityPrivilege = *S-1-5-32-544 SeServiceLogonRight = SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544 SeSystemEnvironmentPrivilege = *S-1-5-32-544 SeSystemProfilePrivilege = *S-1-5-32-544 SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544 SeTakeOwnershipPrivilege = *S-1-5-32-544 SeTcbPrivilege = SeDenyInteractiveLogonRight = SeDenyBatchLogonRight = SeDenyServiceLogonRight = SeDenyNetworkLogonRight = SeUndockPrivilege = *S-1-5-32-544 SeSyncAgentPrivilege = SeEnableDelegationPrivilege = *S-1-5-32-544 [Version] signature="$CHICAGO$" Revision=1 [Registry Values] MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Nota
    Si está instalado Servicios de Internet Information Server, debe anexar las cuentas de usuario siguientes a las que ya aparecen para estos derechos:
       SeBatchLogonRight = IWAM_%nombreDeServidor%,IUSR_%nombreDeServidor% SeInteractiveLogonRight = IUSR_%nombreDeServidor% SeNetworkLogonRight = IWAM_%nombreDeServidor%,IUSR_%nombreDeServidor%
    					
    donde la variable %nombreDeServidor% es un marcador de posición y debería modificarla para reflejar la configuración del equipo.

    Por ejemplo:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_servidordeprueba1, IUSR_servidordeprueba1
    					
    Nota
    Si Servicios de Terminal Server (o Terminal Services), debe anexar la cuenta de usuario siguiente a aquéllos ya mostrados para este derecho:
       SeInteractiveLogonRight = TsInternetUser
    					
    Por ejemplo:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    -o este-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_servidordeprueba1, IUSR_servidordeprueba1,TsInternetUser
    					

    Permisos compatibles sólo con usuarios de Windows 2000

       [Unicode] Unicode=yes [Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 0 AuditObjectAccess = 0 AuditPrivilegeUse = 0 AuditPolicyChange = 0 AuditAccountManage = 0 AuditProcessTracking = 0 AuditDSAccess = 0 AuditAccountLogon = 0 [Privilege Rights] SeAssignPrimaryTokenPrivilege = SeAuditPrivilege = SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544 SeBatchLogonRight = SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0 SeCreatePagefilePrivilege = *S-1-5-32-544 SeCreatePermanentPrivilege = SeCreateTokenPrivilege = SeDebugPrivilege = *S-1-5-32-544 SeIncreaseBasePriorityPrivilege = *S-1-5-32-544 SeIncreaseQuotaPrivilege = *S-1-5-32-544 SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544 SeLoadDriverPrivilege = *S-1-5-32-544 SeLockMemoryPrivilege = SeMachineAccountPrivilege = *S-1-5-11 SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0 SeProfileSingleProcessPrivilege = *S-1-5-32-544 SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544 SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544 SeSecurityPrivilege = *S-1-5-32-544 SeServiceLogonRight = SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544 SeSystemEnvironmentPrivilege = *S-1-5-32-544 SeSystemProfilePrivilege = *S-1-5-32-544 SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544 SeTakeOwnershipPrivilege = *S-1-5-32-544 SeTcbPrivilege = SeDenyInteractiveLogonRight = SeDenyBatchLogonRight = SeDenyServiceLogonRight = SeDenyNetworkLogonRight = SeUndockPrivilege = *S-1-5-32-544 SeSyncAgentPrivilege = SeEnableDelegationPrivilege = *S-1-5-32-544 [Version] signature="$CHICAGO$" Revision=1 [Registry Values] MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Nota
    Si está instalado Servicios de Internet Information Server (IIS), tiene que agregar los derechos de usuario siguientes. La variable nombreDeServidor es un marcador de posición y debería modificarla para reflejar la configuración del equipo:
       SeBatchLogonRight = IWAM_nombreDeServidor,IUSR_nombreDeServidor SeInteractiveLogonRight = IUSR_nombreDeServidor SeNetworkLogonRight = IUSR_nombreDeServidor
    					
    Guarde y cierre el nuevo archivo GptTmpl.inf.


  2. Incremente la versión de la directiva de grupo. Debe aumentar la versión de la directiva de grupo para garantizar que se conservan los cambios de la directiva. El archivo Gpt.ini controla los números de versión de la plantilla de Directiva de grupo.
    1. Abra el archivo Gpt.ini desde la ubicación siguiente:
      ruta de acceso de sysvol\sysvol\nombre de dominio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Aumente el número versión a un número que sea lo suficientemente grande como para garantizar que la replicación normal no hará que el nuevo número de versión se quede anticuado antes de que la directiva se pueda restablecer. Es preferible incrementar el número agregando el número "0" al final del número de versión o el número "1" al principio.
    3. Guarde y cierre el archivo Gpt.ini.
  3. Aplique la nueva directiva de grupo. Use Secedit para actualizar manualmente la directiva de grupo. Esto puede hacerse escribiendo la línea siguiente en el símbolo del sistema:
    secedit /refreshpolicy machine_policy /enforce
    En el Visor de sucesos, examine en el registro de aplicación el número de evento "1704" para comprobar que la propagación de la directiva es correcta. Para obtener más información acerca de cómo actualizar la directiva de grupo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    227448 Uso de Secedit.exe para forzar que se vuelva a aplicar la directiva de grupo

Propiedades

Id. de artículo: 267553 - Última revisión: jueves, 2 de noviembre de 2006 - Versión: 4.1
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbgpo kbhowto KB267553

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com