Como repor direitos de utilizador no objecto de pol�tica de grupo predefinida de controladores de dom�nio

Artigo: 267553 - Ver produtos para os quais este artigo se aplica.

Sum�rio

Este artigo poder� conter hiperliga��es para conte�do em ingl�s (ainda n�o traduzido).

O objecto de pol�tica de grupo predefinida de controladores de dom�nio (GPO, Group Policy Object) cont�m muitas predefini��es dos direitos de utilizador. Nalguns casos, a altera��o das predefini��es poder� provocar efeitos indesej�veis. Este procedimento pode resultar numa condi��o com restri��es inesperadas nos direitos de utilizador. Se as altera��es forem inesperadas, ou se as altera��es n�o foram registadas (n�o sendo por isso poss�vel saber as altera��es que foram efectuadas), poder� ser necess�rio repor as predefini��es dos direitos de utilizador.

Esta situa��o tamb�m pode ocorrer se o conte�do da pasta Sysvol for recriado manualmente ou restaurado a partir de uma c�pia de seguran�a utilizando os procedimentos descritos no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

253268

(http://support.microsoft.com/kb/253268/ )

Group Policy Error Message When Appropriate Sysvol Contents Are Missing

Tamb�m poder� ser necess�rio repor as predefini��es dos direitos de utilizador SeInteractiveLogonRight e SeDenyInteractiveLogonRight se receber a seguinte mensagem de erro quando tentar iniciar sess�o na consola do controlador de dom�nio:

A pol�tica local deste sistema n�o lhe permite iniciar sess�o interactivamente (The local policy of this system does not permit you to logon interactively)

Mais Informa��o

Para repor as atribui��es dos direitos de utilizador relativamente ao GPO necessita de efectuar tr�s passos:

Inicie sess�o no modo de restauro dos servi�os de direct�rio.
Edite o ficheiro GptTmpl.inf.
Incremente a vers�o da pol�tica de grupo (esta altera��o � efectuada no Gpt.ini).
Aplique a nova pol�tica de grupo.

Nota: tenha aten��o quando efectuar estes passos. A configura��o incorrecta do modelo GPO pode levar a que os controladores de dom�nio deixem de funcionar.

Edite o ficheiro GptTmpl.inf. � poss�vel repor as predefini��es dos direitos de utilizador, editando o ficheiro GptTmpl.inf. Este ficheiro est� localizado na pasta da pol�tica de grupo da pasta Sysvol:

caminho de sysvol\sysvol\nome_do_dom�nio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\COMPUTADOR\Microsoft\Windows NT\SecEdit

Nota: o caminho predefinido para a pasta Sysvol � o seguinte %SystemRoot%\Sysvol

Para repor completamente as predefini��es dos direitos de utilizador, substitua as informa��es existentes no ficheiro GptTmpl.inf pelas seguintes informa��es predefinidas dos direitos de utilizador. Pode copiar e, em seguida, colar a sec��o apropriada abaixo para o ficheiro GptTmpl.inf existente.

Anote as defini��es de permiss�es de cada modelo. Deve utilizar o modelo correcto para a sua instala��o com base nas defini��es de direitos de utilizador desejadas.

Nota: a Microsoft recomenda vivamente a cria��o de uma c�pia de seguran�a do ficheiro GptTmpl.inf antes de efectuar estas altera��es.

Permiss�es compat�veis com utilizadores de vers�es anteriores ao Windows 2000

   [Unicode]
   Unicode=yes
   [Event Audit]
   AuditSystemEvents = 0
   AuditLogonEvents = 0
   AuditObjectAccess = 0
   AuditPrivilegeUse = 0
   AuditPolicyChange = 0
   AuditAccountManage = 0
   AuditProcessTracking = 0
   AuditDSAccess = 0
   AuditAccountLogon = 0
   [Privilege Rights]
   SeAssignPrimaryTokenPrivilege =
   SeAuditPrivilege =
   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeBatchLogonRight = 
   SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeCreatePagefilePrivilege = *S-1-5-32-544
   SeCreatePermanentPrivilege =
   SeCreateTokenPrivilege =
   SeDebugPrivilege = *S-1-5-32-544
   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
   SeIncreaseQuotaPrivilege = *S-1-5-32-544
   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeLoadDriverPrivilege = *S-1-5-32-544
   SeLockMemoryPrivilege =
   SeMachineAccountPrivilege = *S-1-5-11  
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeProfileSingleProcessPrivilege = *S-1-5-32-544
   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeSecurityPrivilege = *S-1-5-32-544
   SeServiceLogonRight =
   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeSystemEnvironmentPrivilege = *S-1-5-32-544
   SeSystemProfilePrivilege = *S-1-5-32-544
   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeTakeOwnershipPrivilege = *S-1-5-32-544
   SeTcbPrivilege =
   SeDenyInteractiveLogonRight =
   SeDenyBatchLogonRight =
   SeDenyServiceLogonRight =
   SeDenyNetworkLogonRight =
   SeUndockPrivilege = *S-1-5-32-544
   SeSyncAgentPrivilege =
   SeEnableDelegationPrivilege = *S-1-5-32-544
   [Version]
   signature="$CHICAGO$"
   Revision=1
   [Registry Values]
   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1

Nota: se tiver o IIS (Servi�os de informa��o Internet - Internet Information Services) instalado, deve anexar as seguintes contas de utilizador �s listadas para estes direitos:

   SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
   SeInteractiveLogonRight = IUSR_%servername%
   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%

em que a vari�vel %servername% � um marcador de posi��o e deve edit�-la de modo a reflectir as defini��es do computador.

Segue-se um exemplo:

SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1

Nota: se tiver os servi�os de terminal instalados, deve anexar a seguinte conta de utilizador �s listadas para este direito:

   SeInteractiveLogonRight = TsInternetUser

Segue-se um exemplo:

SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser

- ou -

SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser

Permiss�es compat�veis apenas com utilizadores do Windows 2000

   [Unicode]
   Unicode=yes 
   [Event Audit]
   AuditSystemEvents = 0
   AuditLogonEvents = 0
   AuditObjectAccess = 0
   AuditPrivilegeUse = 0
   AuditPolicyChange = 0
   AuditAccountManage = 0
   AuditProcessTracking = 0
   AuditDSAccess = 0  
   AuditAccountLogon = 0
   [Privilege Rights]
   SeAssignPrimaryTokenPrivilege =
   SeAuditPrivilege =
   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeBatchLogonRight = 
   SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeCreatePagefilePrivilege = *S-1-5-32-544
   SeCreatePermanentPrivilege =
   SeCreateTokenPrivilege =
   SeDebugPrivilege = *S-1-5-32-544
   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
   SeIncreaseQuotaPrivilege = *S-1-5-32-544
   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeLoadDriverPrivilege = *S-1-5-32-544
   SeLockMemoryPrivilege =
   SeMachineAccountPrivilege = *S-1-5-11
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeProfileSingleProcessPrivilege = *S-1-5-32-544
   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeSecurityPrivilege = *S-1-5-32-544
   SeServiceLogonRight =
   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeSystemEnvironmentPrivilege = *S-1-5-32-544
   SeSystemProfilePrivilege = *S-1-5-32-544
   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeTakeOwnershipPrivilege = *S-1-5-32-544
   SeTcbPrivilege =
   SeDenyInteractiveLogonRight =
   SeDenyBatchLogonRight =
   SeDenyServiceLogonRight =
   SeDenyNetworkLogonRight =
   SeUndockPrivilege = *S-1-5-32-544
   SeSyncAgentPrivilege =
   SeEnableDelegationPrivilege = *S-1-5-32-544
   [Version]
   signature="$CHICAGO$"
   Revision=1
   [Registry Values]
   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1

Nota: se tiver o IIS (Servi�os de informa��o Internet - Internet Information Services) instalado, tem de adicionar os seguintes direitos de utilizador. A vari�vel servername � um marcador de posi��o e deve edit�-la de modo a reflectir as defini��es do computador:

   SeBatchLogonRight = IWAM_servername,IUSR_servername
   SeInteractiveLogonRight = IUSR_servername
   SeNetworkLogonRight = IUSR_servername

Guarde e feche o novo ficheiro GptTmpl.inf.

Incremente a vers�o da pol�tica de grupo. Tem de aumentar a vers�o da pol�tica de grupo para garantir que as altera��es � pol�tica s�o mantidas. O ficheiro Gpt.ini controla os n�meros de vers�o do modelo de pol�tica de grupo.
1. Abra o ficheiro Gpt.ini a partir da seguinte localiza��o:
  caminho de sysvol\sysvol\nome do dom�nio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
2. Aumente o n�mero de vers�o para um n�mero suficientemente elevado de modo a garantir que a replica��o normal n�o desactualizar� o novo n�mero de vers�o antes de a pol�tica ter sido reposta. � prefer�vel incrementar o n�mero adicionando o n�mero "0" no fim do n�mero de vers�o ou o n�mero "1" no in�cio do n�mero de vers�o.
3. Guarde e feche o ficheiro Gpt.ini.
Aplique a nova pol�tica de grupo. Utilize Secedit para actualizar manualmente a pol�tica de grupo. Pode faz�-lo escrevendo o seguinte numa linha de comandos:
secedit /refreshpolicy machine_policy /enforce
No Visualizador de eventos (Event Viewer), verifique se existe o n�mero de evento "1704" no registo de aplica��es para se certificar de que a propaga��o da pol�tica foi efectuada com �xito. Para obter mais informa��es sobre a actualiza��o da pol�tica de grupo, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
227448
(http://support.microsoft.com/kb/227448/ )
Utilizar o Secedit.exe para for�ar a reaplica��o da pol�tica de grupo