Reimpostazione dei diritti utente nell'oggetto Criteri di gruppo Controller di dominio predefiniti

Traduzione articoli Traduzione articoli
Identificativo articolo: 267553 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

L'oggetto Criteri di gruppo Controller di dominio predefiniti contiene molte impostazioni predefinite relative ai diritti utente. In alcuni casi la modifica delle impostazioni predefinite pu˛ avere effetti indesiderati. ╚ ad esempio possibile che vengano imposte restrizioni impreviste sui diritti utente. Se le modifiche sono impreviste o non sono state registrate e di conseguenza non si conoscono le modifiche apportate, potrebbe essere necessario reimpostare i valori predefiniti delle impostazioni relative ai diritti utente.

Questa situazione pu˛ inoltre verificarsi se il contenuto della cartella Sysvol Ŕ stato rigenerato manualmente oppure ripristinato dal backup utilizzando le procedure descritte nel seguente articolo della Microsoft Knowledge Base:
253268 Visualizzazione del messaggio di errore relativo ai Criteri di gruppo quando il contenuto appropriato della cartella Sysvol risulta mancante


Potrebbe inoltre essere necessario reimpostare i valori predefiniti delle impostazioni relative ai diritti utente SeInteractiveLogonRight e SeDenyInteractiveLogonRight se viene visualizzato un messaggio di errore analogo al seguente quando si tenta di accedere alla console del controller di dominio:
Il criterio locale del sistema non permette l'accesso interattivo.

Informazioni

La reimpostazione delle assegnazioni dei diritti utente per l'oggetto Criteri di gruppo prevede tre passaggi:
  1. Modifica del file Gpttmpl.inf
  2. Incremento della versione dei criteri di gruppo (modifica apportata nel file Gpt.ini)
  3. Applicazione dei nuovi criteri di gruppo
NOTA: l'esecuzione di questa procedura richiede particolare cautela. Se non si configura correttamente il modello dell'oggetto Criteri di gruppo, i controller di dominio potrebbero risultare inutilizzabili.
  1. Modifica del file Gpttmpl.inf. Per reimpostare i valori predefiniti delle impostazioni relative ai diritti utente, Ŕ possibile modificare il file GptTmpl.inf. Tale file Ŕ reperibile nella cartella dei criteri di gruppo nella cartella Sysvol:
    percorso sysvol\sysvol\nome dominio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\COMPUTER\Microsoft\Windows NT\SecEdit
    NOTA: il percorso predefinito della cartella Sysvol Ŕ %SystemRoot%\Sysvol.

    Per reimpostare completamente i valori predefiniti delle impostazioni relative ai diritti utente, sostituire le informazioni esistenti nel file Gpttmpl.inf con le seguenti informazioni sui diritti utente predefiniti. ╚ possibile copiare e incollare la sezione appropriata riportata di seguito nel file GptTmpl.inf esistente.

    Si notino le impostazioni relative alle autorizzazioni per ciascun modello. ╚ necessario utilizzare il modello corretto per l'installazione in uso sulla base delle impostazioni desiderate relative ai diritti utente.

    NOTA: si consiglia vivamente di eseguire il backup del file GptTmpl.inf prima di apportare queste modifiche.

    Autorizzazioni compatibili con gli utenti di versioni del sistema operativo precedenti a Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    NOTA: se Ŕ installato Internet Information Services, Ŕ necessario aggiungere i seguenti account utente a quelli giÓ elencati per questi diritti:
       SeBatchLogonRight = IWAM_%nomeserver%,IUSR_%nomeserver%
       SeInteractiveLogonRight = IUSR_%nomeserver%
       SeNetworkLogonRight = IWAM_%nomeserver%,IUSR_%nomeserver%
    					
    dove la variabile %nomeserver% corrisponde a un segnaposto che deve essere modificato in base alle impostazioni del computer.

    Esempio:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    NOTA: se Ŕ installato Servizi terminal, Ŕ necessario aggiungere il seguente account utente a quelli giÓ elencati per questo diritto:
       SeInteractiveLogonRight = TsInternetUser
    					
    Esempio:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    Oppure
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Autorizzazioni compatibili solo con gli utenti di Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    NOTA: se Ŕ installato Internet Information Services, Ŕ necessario aggiungere i seguenti diritti utente. La variabile nomeserver Ŕ un segnaposto che deve essere modificato in base alle impostazioni del computer:
       SeBatchLogonRight = IWAM_nomeserver,IUSR_nomeserver
       SeInteractiveLogonRight = IUSR_nomeserver
       SeNetworkLogonRight = IUSR_nomeserver
    					
    Salvare e chiudere il nuovo file GptTmpl.inf.


  2. Incremento della versione dei criteri di gruppo. ╚ necessario incrementare la versione dei criteri di gruppo per garantire che le modifiche apportate vengano mantenute. Il file Gpt.ini controlla i numeri di versione del modello Criteri di gruppo.
    1. Aprire il file Gpt.ini dal seguente percorso:
      percorso sysvol\sysvol\nome dominio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Incrementare il numero di versione specificando un valore sufficiente a garantire che durante una normale replica il nuovo numero di versione non divenga obsoleto prima della reimpostazione dei criteri. ╚ preferibile incrementare il numero aggiungendo il numero "0" alla fine del numero di versione oppure il numero "1" all'inizio del numero di versione.
    3. Salvare e chiudere il file Gpt.ini.
  3. Applicazione dei nuovi criteri di gruppo. Utilizzare Secedit per aggiornare manualmente i criteri di gruppo. A tale scopo, digitare quanto segue al prompt dei comandi:
    secedit /refreshpolicy criterio_computer /enforce
    In Visualizzatore eventi verificare la presenza del numero evento "1704" nel registro applicazioni per confermare la corretta propagazione dei criteri. Per ulteriori informazioni sull'aggiornamento dei criteri di gruppo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    227448 Utilizzo di Secedit.exe per imporre nuovamente l'applicazione dei criteri di gruppo

ProprietÓ

Identificativo articolo: 267553 - Ultima modifica: giovedý 2 febbraio 2006 - Revisione: 4.0
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Chiavi:á
kbgpo kbhowto KB267553
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com