Jak resetować prawa użytkownika w obiekcie zasad grupy Domyślne kontrolery domeny

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 267553 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Streszczenie

Obiekt zasad grupy Domyślne kontrolery domeny zawiera wiele domyślnych ustawień praw użytkowników. W niektórych przypadkach zmiana ustawienia domyślnego może spowodować niepożądane skutki. Może to spowodować nałożenie nieoczekiwanych ograniczeń na prawa użytkowników. Jeśli zmiany są nieoczekiwane lub nie zostały zarejestrowane i nie wiadomo, jakie zmiany zostały wprowadzone, może być potrzebne zresetowanie ustawień praw użytkownika i przywrócenie wartości domyślnych.

Ta sytuacja może być również wynikiem ręcznego odtwarzania zawartości folderu Sysvol lub przywracania go z kopii zapasowej przy użyciu procedur opisanych w następującym artykule z bazy wiedzy Microsoft Knowledge Base.
253268 Group Policy Error Message When Appropriate Sysvol Contents Are Missing
Zresetowanie ustawień praw użytkowników SeInteractiveLogonRight i SeDenyInteractiveLogonRight oraz przywrócenie ich wartości domyślnych może być również wymagane, jeśli podczas próby zalogowania się do konsoli kontrolera domeny jest wyświetlany następujący komunikat o błędzie:
Zasady lokalne tego systemu nie pozwalają na logowanie interakcyjne

Więcej informacji

Zresetowanie praw użytkowników przypisanych do obiektu zasad grupy wymaga wykonania trzech kroków:
  1. Zaloguj się do trybu przywracania usług katalogowych.
  2. Edytuj plik GptTmpl.inf.
  3. Zwiększ numer wersji zasad grupy (ta zmiana jest dokonywana w pliku Gpt.ini).
  4. Zastosuj nowe zasady grupy.
Uwaga: Wykonując te kroki, należy zachować ostrożność. Niepoprawna konfiguracja szablonu obiektu zasad grupy może uniemożliwić korzystanie z kontrolerów domeny.
  1. Edytuj plik GptTmpl.inf. Ustawienia praw użytkowników można zresetować i przywrócić ich ustawienia domyślne, edytując plik GptTmpl.inf. Plik ten znajduje się w podfolderze Group Policy folderu Sysvol:
    ścieżka_sysvol\sysvol\nazwa_domeny\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\KOMPUTER\Microsoft\Windows NT\SecEdit
    Uwaga: Domyślna ścieżka folderu Sysvol to %SystemRoot%\Sysvol.

    Aby całkowicie zresetować prawa użytkownika w celu przywrócenia domyślnych ustawień, zamień informację istniejącą w pliku GptTmpl.inf na następującą informację o domyślnych prawach użytkownika. Odpowiednią sekcję można skopiować, a następnie wkleić poniżej istniejącego pliku GptTmpl.inf.

    Należy zanotować ustawienia uprawnień dla poszczególnych szablonów. Należy użyć poprawnego szablonu dla danej instalacji w zależności od pożądanych ustawień praw użytkowników.

    Uwaga: Firma Microsoft zdecydowanie zaleca wykonanie kopii zapasowej pliku GptTmpl.inf przed dokonaniem tych zmian.

    Uprawnienia zgodne z użytkownikami systemów wcześniejszych niż Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Uwaga: Jeśli są zainstalowane Internetowe usługi informacyjne, następujące konta użytkownika muszą zostać dołączone do tych, które znajdują się już na liście otrzymujących te prawa:
       SeBatchLogonRight = IWAM_%nazwa_serwera%,IUSR_%nazwa_serwera%
       SeInteractiveLogonRight = IUSR_%nazwa_serwera%
       SeNetworkLogonRight = IWAM_%nazwa_serwera%,IUSR_%nazwa_serwera%
    					
    gdzie %nazwa_serwera% to symbol zastępczy, który należy zmodyfikować stosownie do ustawień komputera.

    Powinno to wyglądać na przykład tak:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    Uwaga: Jeśli są zainstalowane usługi terminalowe, następujące konto użytkownika musi zostać dołączone do tych, które znajdują się już na liście otrzymujących te prawa:
       SeInteractiveLogonRight = TsInternetUser
    					
    Powinno to wyglądać na przykład tak:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    — lub tak —
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Uprawnienia zgodne tylko z użytkownikami systemu Windows 2000

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Uwaga: Jeśli są zainstalowane Internetowe usługi informacyjne, muszą zostać dodane następujące prawa użytkowników. nazwa_serwera to symbol zastępczy, który należy zmodyfikować stosownie do ustawień komputera:
       SeBatchLogonRight = IWAM_nazwa_serwera,IUSR_nazwa_serwera
       SeInteractiveLogonRight = IUSR_nazwa_serwera
       SeNetworkLogonRight = IUSR_nazwa_serwera
    					
    Zapisz i zamknij nowy plik GptTmpl.inf.


  2. Zwiększ numer wersji zasad grupy. Zwiększenie numeru wersji zasad grupy jest konieczne, aby zmiany zasad zostały zachowane. Numery wersji szablonu obiektu zasad grupy są kontrolowane przez plik Gpt.ini.
    1. Otwórz plik Gpt.ini z następującej lokalizacji:
      ścieżka_sysvol\sysvol\nazwa_domeny\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Zwiększ numer version na tyle, aby typowa replikacja nie spowodowała dezaktualizacji nowego numeru wersji przed zresetowaniem zasad. Najlepiej zwiększyć numer, dodając cyfrę „0” na końcu numeru wersji albo cyfrę „1” na początku numeru wersji.
    3. Zapisz i zamknij plik Gpt.ini.
  3. Zastosuj nowe zasady grupy. Użyj narzędzia Secedit, aby ręcznie odświeżyć zasady grupy. Można to zrobić, wpisując następujące polecenie w wierszu polecenia:
    secedit /refreshpolicy zasady_komputera /enforce
    W podglądzie zdarzeń poszukaj w dzienniku aplikacji numeru zdarzenia „1704”, aby zweryfikować, czy propagacja zasad zakończyła się powodzeniem. Aby uzyskać więcej informacji dotyczących odświeżania zasad grupy, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    227448 Using Secedit.exe to force group policy to be applied again

Właściwości

Numer ID artykułu: 267553 - Ostatnia weryfikacja: 7 sierpnia 2006 - Weryfikacja: 4.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Słowa kluczowe: 
kbgpo kbhowto KB267553

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com