Como redefinir direitos de usuário no objeto da diretiva de grupo Diretiva Controladores de domínio padrão

Traduções deste artigo Traduções deste artigo
ID do artigo: 267553 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sumário

O padrão da Diretiva de controladores de domínio GPO (Objeto da Diretiva de Grupo) contém muitas configurações padrão dos direitos de usuário. Em alguns casos, a alteração das configurações padrão podem produzir efeitos indesejáveis. Isso pode resultar em uma condição em que há restrições inesperadas nos direitos do usuário. Caso as alterações sejam inesperadas ou as alterações não tenham sido registradas de forma que não se saibam quais alterações foram feitas, talvez seja necessário redefinir as configurações dos direitos do usuário para o padrão.

A situação também pode acontecer caso o conteúdo da pasta Sysvol tenha sido recriado manualmente ou restaurado a partir de backup, usando os procedimentos no seguinte artigo da Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
253268 Mensagem de erro de diretiva de grupo quando o conteúdo apropriado de Sysvol não é encontrado
Também pode ser necessário redefinir as configurações dos direitos de usuário SeInteractiveLogonRight e SeDenyInteractiveLogonRight para o padrão, se a seguinte mensagem de erro for exibida ao tentar fazer logon no console do controlador de domínio:
A diretiva local deste sistema não permite que você faça logon interativamente

Mais Informações

Há três etapas necessárias para redefinir as atribuições dos direitos do usuário para o GPO:
  1. Fazer logon no Modo de restauração dos serviços de diretório.
  2. Editar o arquivo GptTmpl.inf.
  3. Incrementar a versão da diretiva de grupo (a alteração é feita no Gpt.ini).
  4. Aplicar a nova diretiva de grupo.
Observação Tome cuidado ao executar as seguintes etapas. Se configurar incorretamente o modelo de GPO, você pode tornar os controladores de domínio inoperáveis.
  1. Editar o arquivo GptTmpl.inf. As configurações dos direitos do usuário podem ser redefinidas para o padrão, editando o arquivo GptTmpl.inf. O arquivo está localizado na pasta Diretiva de Grupo na pasta Sysvol:
    caminho_de_sysvol\sysvol\nome_do_ domínio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MÁQUINA\Microsoft\Windows NT\SecEdit
    Observação O caminho padrão da pasta Sysvol é %SystemRoot%\Sysvol

    Para redefinir completamente os direitos do usuário para as configurações padrão, substitua as informações existentes no arquivo GptTmpl.inf pelas informações sobre os direitos do usuário padrão. É possível copiar e colar a seção apropriada abaixo no arquivo GptTmpl.inf existente.

    Anote as configurações de permissão de cada modelo. Você deve usar o modelo correto para a instalação com base nas configurações dos direitos do usuário desejadas.

    Observação A Microsoft recomenda que você faça backup do arquivo GptTmpl.inf antes de realizar as alterações.

    Permissões compatíveis com usuários anteriores ao Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Observação Caso o IIS (Serviços de informações da Internet) esteja instalado, é necessário acrescentar as seguintes contas de usuário às já listadas para estes direitos:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    em que a variável %servername% é um espaço reservado e que deve ser editada para refletir as configurações do computador.

    Um exemplo seria como este:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    Observação Caso os Serviços de terminal estejam instalados, é necessário acrescentar a seguinte conta de usuário às já listadas para o direito:
       SeInteractiveLogonRight = TsInternetUser
    					
    Um exemplo seria como este:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    -ou este-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Permissões compatíveis apenas com usuários do Windows 2000

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Observação Caso o IIS esteja instalado, é necessário adicionar os seguintes direitos do usuário. A variável nome_do_servidor é um espaço reservado e que deve ser editado para refletir as configurações do computador:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    Salve e feche o novo arquivo GptTmpl.inf.


  2. Incremente a versão da diretiva de grupo. É necessário aumentar a versão da diretiva de grupo para assegurar a manutenção das alterações na diretiva. O arquivo Gpt.ini controla os números de versão do modelo da diretiva de grupo.
    1. Abra o arquivo Gpt.ini na seguinte localização:
      caminho_de_sysvol\sysvol\nome _de _domínio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Aumente o número de versão para um número grande o suficiente para garantir que a replicação normal não fará o número da nova versão se tornar desatualizado antes da redefinição da diretiva. É preferível incrementar o número adicionando o número "0" ao final do número de versão ou o número "1" ao início do número de versão.
    3. Salve e feche o arquivo Gpt.ini.
  3. Aplique a nova diretiva de grupo. Use Secedit para atualizar manualmente a diretiva de grupo. Isto pode ser realizado, digitando a seguinte linha em um prompt de comando:
    secedit /refreshpolicy machine_policy /enforce
    Em Visualizar eventos, verifique o log do aplicativo em busca do número de evento "1704" para verificar o êxito da propagação da diretiva. Para obter mais informações sobre como atualizar a diretiva de grupo, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    227448 Como usar o Secedit.exe para forçar uma nova aplicação da diretiva de grupo

Propriedades

ID do artigo: 267553 - Última revisão: segunda-feira, 7 de agosto de 2006 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbgpo kbhowto KB267553

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com