Cara reset hak-hak pengguna di Default Domain controller objek kebijakan grup

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 267553 - Melihat produk di mana artikel ini berlaku.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Perbesar semua | Perkecil semua

RINGKASAN

Objek Default Domain controller kebijakan grup (GPO) berisi banyak pengaturan hak pengguna default. Dalam beberapa kasus, mengubah pengaturan default dapat menghasilkan efek yang tidak dikehendaki. Ini dapat menyebabkan kondisi di mana ada tak terduga pembatasan pada hak-hak pengguna. Jika perubahan tak terduga, atau jika perubahan tidak tercatat sehingga tidak diketahui perubahan yang dibuat, mungkin diperlukan untuk me-reset pengaturan pengguna-hak ini ke default mereka.

Situasi ini dapat juga menghasilkan jika isi Sysvol folder secara manual dibangun kembali, atau disimpan dari cadangan dengan menggunakan prosedur di artikel berikut pada Basis Pengetahuan Microsoft:
253268 Pesan galat kebijakan grup ketika sesuai Sysvol isi hilang
Mungkin juga diperlukan untuk me-reset SeInteractiveLogonRight dan SeDenyInteractiveLogonRight hak-hak pengguna pengaturan default mereka jika Anda menerima pesan galat berikut ketika Anda mencoba untuk masuk ke konsol kontroler domain:
Kebijakan lokal sistem ini tidak mengizinkan Anda untuk logon secara interaktif

INFORMASI LEBIH LANJUT

Ada tiga langkah yang diperlukan untuk me-reset penetapan hak pengguna untuk GPO:
  1. Log on ke Mode pemulihan layanan direktori.
  2. Mengedit GptTmpl.inf file.
  3. Peningkatan Versi kebijakan grup (perubahan ini dibuat di Gpt.ini).
  4. Menerapkan kebijakan grup yang baru.
Catatan Akan berhati-hati ketika melakukan langkah-langkah ini. Salah konfigurasi GPO template dapat membuat kontroler domain Anda bisa dioperasi.
  1. Mengedit GptTmpl.inf file. Pengaturan hak-hak pengguna yang akan di-reset ke default dengan mengedit GptTmpl.inf file. File ini terletak di kebijakan grup folder di bawah Sysvol folder:
    SYSVOL jalan\sysvol\nama domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MESIN\Microsoft\Windows NT\SecEdit
    Catatan Default path untuk map Sysvol adalah %SystemRoot%\Sysvol

    Untuk benar-benar membuat ulang hak-hak pengguna ke pengaturan default, menggantikan informasi yang sudah ada pada berkas GptTmpl.inf dengan informasi hak pengguna standar berikut. Anda dapat menyalin, dan kemudian paste bagian yang sesuai di bawah ini ke file GptTmpl.inf yang ada.

    Harap dicatat pengaturan izin untuk setiap template. Anda harus menggunakan template benar untuk instalasi Anda yang didasarkan pada pengaturan hak-hak pengguna yang diinginkan.

    Catatan Microsoft sangat menganjurkan membuat cadangan berkas GptTmpl.inf sebelum membuat perubahan ini.

    Izin kompatibel dengan pengguna Pre-Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Catatan Jika Internet Information Services terinstal, Anda harus menambahkan account pengguna berikut untuk yang sudah terdaftar untuk hak-hak ini:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    di mana variabel % servername % adalah sebuah tempat, dan Anda harus mengedit untuk mencerminkan pengaturan komputer.

    Contoh akan terlihat seperti ini:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    Catatan Jika Layanan Terminal diinstal, Anda harus menambahkan account pengguna berikut untuk yang sudah terdaftar untuk hak ini:
       SeInteractiveLogonRight = TsInternetUser
    					
    Contoh akan terlihat seperti ini:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    - atau ini-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Izin hanya kompatibel dengan Windows 2000 pengguna

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Catatan Jika Internet Information Services terinstal, Anda harus menambahkan hak-hak pengguna. The ServerName variabel adalah sebuah tempat, dan Anda harus mengedit untuk mencerminkan pengaturan komputer:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    Simpan, dan kemudian tutup berkas GptTmpl.inf.


  2. Peningkatan Versi kebijakan grup. Anda harus meningkatkan versi kebijakan grup untuk memastikan bahwa kebijakan perubahan tetap dipertahankan. Berkas Gpt.ini kontrol nomor versi kelompok kebijakan Template.
    1. Buka Gpt.ini file dari lokasi berikut:
      SYSVOL jalan\sysvol\nama domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Meningkatkan Versi nomor ke nomor yang cukup besar untuk menjamin bahwa replikasi normal tidak akan membuat nomor versi baru yang menjadi usang sebelum kebijakan dapat di-reset. Lebih disukai untuk peningkatan jumlah dengan baik menambahkan nomor "0" untuk akhir nomor versi, atau nomor "1" untuk awal nomor versi.
    3. Simpan dan tutup berkas Gpt.ini.
  3. Menerapkan kebijakan grup yang baru. Gunakan Secedit untuk secara manual me-refresh kebijakan grup. Ini dapat dilakukan dengan mengetik baris berikut pada prompt perintah:
    Secedit/refreshpolicy machine_policy / menegakkan
    Di Peraga Peristiwa, periksa Log aplikasi untuk jumlah peristiwa "1704" untuk memverifikasi sukses kebijakan propagasi. Untuk informasi lebih lanjut tentang menyegarkan kebijakan grup, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    227448Menggunakan Secedit.exe untuk memaksa kebijakan grup untuk diterapkan kembali

Properti

ID Artikel: 267553 - Kajian Terakhir: 22 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kata kunci: 
kbgpo kbhowto kbmt KB267553 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:267553

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com