기본 도메인 컨트롤러 그룹 정책 개체의 사용자 권한을 다시 설정하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 267553 - 이 문서가 적용되는 제품 보기.
알림
이 문서에서는 Windows 2000 적용됩니다. 2010 7월 13일, Windows 2000 지원 끝납니다.Windows 2000 End-of-Support Solution Center Windows 2000에서 마이그레이션 전략 계획 수립 시작 지점입니다. 자세한 내용은 Microsoft Support Lifecycle Policy 을 참조하십시오.
모두 확대 | 모두 축소

요약

기본 도메인 컨트롤러 그룹 정책 개체 (GPO) 여러 기본 사용자 권한 설정이 포함됩니다. 경우에 따라 기본 설정을 변경하면 의도하지 않는 부작용이 발생할 수 있습니다. 이 문제는 사용자 권한에 예기치 않은 제한이 존재하는 상황에서 발생할 수 있습니다. 변경, 예기치 않은 알 수 있도록 변경 사항이 기록되지 않은 경우에는 어떤 변경 내용이 있으면 이러한 사용자 권한 설정을 기본값으로 다시 설정해야 할 수 있습니다.

Sysvol 폴더의 내용을 수동으로 경우 이러한 상황을 유발할 수도 있습니다 다시, 또는 Microsoft 기술 자료의 다음 문서에서 설명하는 절차를 사용하여 복원했습니다.
253268적절한 Sysvol 내용이 없을 경우 그룹 정책 오류 메시지
도메인 컨트롤러의 콘솔에 로그온할 때 다음 오류 메시지가 나타날 경우 SeInteractiveLogonRightSeDenyInteractiveLogonRight 사용자 권한 설정을 기본값으로 다시 필요할 수 있습니다.
이 시스템의 로컬 정책은 대화형 로그온을 허용하지 않습니다

추가 정보

GPO에 사용자 권한 할당을 다시 설정하는 데 필요한 세 가지 단계는 다음과 같습니다.
  1. 디렉터리 서비스 복원 모드 로그온합니다.
  2. Gpttmpl.inf 파일 편집.
  3. 이 변경은 있는 Gpt.ini 이루어집니다 그룹 정책 버전을 증가시킵니다.
  4. 새 그룹 정책을 적용하십시오.
참고 이러한 단계를 수행할 때 주의해야 합니다. GPO 템플릿을 잘못 구성하면 도메인 컨트롤러가 수 없게 됩니다.
  1. Gpttmpl.inf 파일 편집. GptTmpl.inf 파일을 편집하여 사용자 권한 설정은 기본값으로 재설정할 수 있습니다. 이 파일은 Sysvol 폴더에 그룹 정책 폴더가 있습니다.
    sysvol pathdomain name 을 \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\ MACHINE \Microsoft\Windows NT\SecEdit \sysvol\
    참고 Sysvol 폴더의 기본 경로를 %SystemRoot%\Sysvol 것입니다.

    사용자 권한을 기본 설정으로 완전히 다시 설정하려면 Gpttmpl.inf 파일의 기존 정보를 다음 기본 사용자 권한 정보로 바꿉니다. 복사 및 기존 GptTmpl.inf 파일에 아래의 해당 섹션을 붙여 넣을 수 있습니다.

    각 서식 파일에 대한 사용 권한 설정에 유의하십시오. 설치에 필요한 사용자 권한 설정에 따라 올바른 서식 파일을 사용해야 합니다.

    참고 이러한 변경하기 전에 GptTmpl.inf 파일을 백업하는 좋습니다.

    Windows 2000 이전 버전 사용자와 호환되는 사용 권한

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    참고 IIS 설치되어 있으면 이 권한이 이미 설명한 것과 같은 사용자 계정을 추가해야 합니다:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    서버 이름 % 변수 % 표시자입니다 및 컴퓨터 설정을 반영하도록 편집해야 합니다.

    예를 들어, 다음과 같을 것입니다:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    노트 경우 터미널 서비스 설치, 이 권한이 이미 설명한 것과 같은 사용자 계정을 추가해야 합니다:
       SeInteractiveLogonRight = TsInternetUser
    					
    예 다음과 같을 것입니다:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    또는 이
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Windows 2000 사용자와 호환 가능한 사용 권한

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    참고 IIS를 설치한 경우 다음 사용자 권한을 추가해야 합니다. 서버 변수의 자리 표시자 및 컴퓨터 설정을 반영하도록 편집해야 합니다:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    저장 을 클릭한 다음 새 GptTmpl.inf 파일을 닫습니다.


  2. 그룹 정책 버전을 증가시킵니다. 정책 변경 내용은 유지되지 않도록 그룹 정책 버전을 늘려야 합니다. Gpt.ini 파일은 그룹 정책 템플릿 버전 번호를 제어합니다.
    1. 다음 위치에서 Gpt.ini 파일을 엽니다:
      Sysvol 경로 를 \sysvol\ 도메인 이름이 \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. 버전 번호 정상적인 복제 정책을 다시 설정할 수 있는 전에 오래된 될 새 버전 번호는 기울일 보장할 수 있을 만큼 증가시킵니다. 두 버전 번호 끝에 숫자 "0" 또는 "1" 시작 버전 번호 추가하여 번호를 증가시키는 것이 좋습니다.
    3. 있는 Gpt.ini 파일을 저장하고 닫습니다.
  3. 새 그룹 정책을 적용하십시오. Secedit을 그룹 정책을 수동으로 새로 고칠 수 있습니다. 명령 프롬프트에서 다음 명령줄을 입력하여 수행할 수 있습니다.
    /refreshpolicy machine_policy secedit/강제로
    이벤트 뷰어에서 이벤트 번호 "1704" 응용 프로그램 성공적인 정책 전파가 확인하기 위해 로그를 확인하십시오. 그룹 정책을 새로 고치는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    227448Secedit.exe를 사용하여 그룹 정책을 다시 강제 적용

속성

기술 자료: 267553 - 마지막 검토: 2007년 3월 1일 목요일 - 수정: 4.5
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
키워드:?
kbmt kbgpo kbhowto KB267553 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
이 문서의 영문 버전 보기:267553

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com