ID do artigo: 267553 - �ltima revis�o: segunda-feira, 7 de agosto de 2006 - Revis�o: 4.1

Como redefinir direitos de usu�rio no objeto da diretiva de grupo Diretiva Controladores de dom�nio padr�o

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Expandir tudo | Recolher tudo

Sum�rio

O padr�o da Diretiva de controladores de dom�nio GPO (Objeto da Diretiva de Grupo) cont�m muitas configura��es padr�o dos direitos de usu�rio. Em alguns casos, a altera��o das configura��es padr�o podem produzir efeitos indesej�veis. Isso pode resultar em uma condi��o em que h� restri��es inesperadas nos direitos do usu�rio. Caso as altera��es sejam inesperadas ou as altera��es n�o tenham sido registradas de forma que n�o se saibam quais altera��es foram feitas, talvez seja necess�rio redefinir as configura��es dos direitos do usu�rio para o padr�o.

A situa��o tamb�m pode acontecer caso o conte�do da pasta Sysvol tenha sido recriado manualmente ou restaurado a partir de backup, usando os procedimentos no seguinte artigo da Base de Dados de Conhecimento Microsoft (a p�gina pode estar em ingl�s):

253268� (http://support.microsoft.com/kb/253268/ ) Mensagem de erro de diretiva de grupo quando o conte�do apropriado de Sysvol n�o � encontrado

Tamb�m pode ser necess�rio redefinir as configura��es dos direitos de usu�rio SeInteractiveLogonRight e SeDenyInteractiveLogonRight para o padr�o, se a seguinte mensagem de erro for exibida ao tentar fazer logon no console do controlador de dom�nio:

A diretiva local deste sistema n�o permite que voc� fa�a logon interativamente

Mais Informa��es

H� tr�s etapas necess�rias para redefinir as atribui��es dos direitos do usu�rio para o GPO:

Fazer logon no Modo de restaura��o dos servi�os de diret�rio.
Editar o arquivo GptTmpl.inf.
Incrementar a vers�o da diretiva de grupo (a altera��o � feita no Gpt.ini).
Aplicar a nova diretiva de grupo.

Observa��o Tome cuidado ao executar as seguintes etapas. Se configurar incorretamente o modelo de GPO, voc� pode tornar os controladores de dom�nio inoper�veis.

Editar o arquivo GptTmpl.inf. As configura��es dos direitos do usu�rio podem ser redefinidas para o padr�o, editando o arquivo GptTmpl.inf. O arquivo est� localizado na pasta Diretiva de Grupo na pasta Sysvol:

caminho_de_sysvol\sysvol\nome_do_ dom�nio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\M�QUINA\Microsoft\Windows NT\SecEdit

Observa��o O caminho padr�o da pasta Sysvol � %SystemRoot%\Sysvol

Para redefinir completamente os direitos do usu�rio para as configura��es padr�o, substitua as informa��es existentes no arquivo GptTmpl.inf pelas informa��es sobre os direitos do usu�rio padr�o. � poss�vel copiar e colar a se��o apropriada abaixo no arquivo GptTmpl.inf existente.

Anote as configura��es de permiss�o de cada modelo. Voc� deve usar o modelo correto para a instala��o com base nas configura��es dos direitos do usu�rio desejadas.

Observa��o A Microsoft recomenda que voc� fa�a backup do arquivo GptTmpl.inf antes de realizar as altera��es.

Permiss�es compat�veis com usu�rios anteriores ao Windows 2000

   [Unicode]
   Unicode=yes
   [Event Audit]
   AuditSystemEvents = 0
   AuditLogonEvents = 0
   AuditObjectAccess = 0
   AuditPrivilegeUse = 0
   AuditPolicyChange = 0
   AuditAccountManage = 0
   AuditProcessTracking = 0
   AuditDSAccess = 0
   AuditAccountLogon = 0
   [Privilege Rights]
   SeAssignPrimaryTokenPrivilege =
   SeAuditPrivilege =
   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeBatchLogonRight = 
   SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeCreatePagefilePrivilege = *S-1-5-32-544
   SeCreatePermanentPrivilege =
   SeCreateTokenPrivilege =
   SeDebugPrivilege = *S-1-5-32-544
   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
   SeIncreaseQuotaPrivilege = *S-1-5-32-544
   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeLoadDriverPrivilege = *S-1-5-32-544
   SeLockMemoryPrivilege =
   SeMachineAccountPrivilege = *S-1-5-11  
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeProfileSingleProcessPrivilege = *S-1-5-32-544
   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeSecurityPrivilege = *S-1-5-32-544
   SeServiceLogonRight =
   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeSystemEnvironmentPrivilege = *S-1-5-32-544
   SeSystemProfilePrivilege = *S-1-5-32-544
   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeTakeOwnershipPrivilege = *S-1-5-32-544
   SeTcbPrivilege =
   SeDenyInteractiveLogonRight =
   SeDenyBatchLogonRight =
   SeDenyServiceLogonRight =
   SeDenyNetworkLogonRight =
   SeUndockPrivilege = *S-1-5-32-544
   SeSyncAgentPrivilege =
   SeEnableDelegationPrivilege = *S-1-5-32-544
   [Version]
   signature="$CHICAGO$"
   Revision=1
   [Registry Values]
   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1

Observa��o Caso o IIS (Servi�os de informa��es da Internet) esteja instalado, � necess�rio acrescentar as seguintes contas de usu�rio �s j� listadas para estes direitos:

   SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
   SeInteractiveLogonRight = IUSR_%servername%
   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%

em que a vari�vel %servername% � um espa�o reservado e que deve ser editada para refletir as configura��es do computador.

Um exemplo seria como este:

SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1

Observa��o Caso os Servi�os de terminal estejam instalados, � necess�rio acrescentar a seguinte conta de usu�rio �s j� listadas para o direito:

   SeInteractiveLogonRight = TsInternetUser

Um exemplo seria como este:

SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser

-ou este-

SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser

Permiss�es compat�veis apenas com usu�rios do Windows 2000

   [Unicode]
   Unicode=yes 
   [Event Audit]
   AuditSystemEvents = 0
   AuditLogonEvents = 0
   AuditObjectAccess = 0
   AuditPrivilegeUse = 0
   AuditPolicyChange = 0
   AuditAccountManage = 0
   AuditProcessTracking = 0
   AuditDSAccess = 0  
   AuditAccountLogon = 0
   [Privilege Rights]
   SeAssignPrimaryTokenPrivilege =
   SeAuditPrivilege =
   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeBatchLogonRight = 
   SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeCreatePagefilePrivilege = *S-1-5-32-544
   SeCreatePermanentPrivilege =
   SeCreateTokenPrivilege =
   SeDebugPrivilege = *S-1-5-32-544
   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
   SeIncreaseQuotaPrivilege = *S-1-5-32-544
   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeLoadDriverPrivilege = *S-1-5-32-544
   SeLockMemoryPrivilege =
   SeMachineAccountPrivilege = *S-1-5-11
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeProfileSingleProcessPrivilege = *S-1-5-32-544
   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeSecurityPrivilege = *S-1-5-32-544
   SeServiceLogonRight =
   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeSystemEnvironmentPrivilege = *S-1-5-32-544
   SeSystemProfilePrivilege = *S-1-5-32-544
   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeTakeOwnershipPrivilege = *S-1-5-32-544
   SeTcbPrivilege =
   SeDenyInteractiveLogonRight =
   SeDenyBatchLogonRight =
   SeDenyServiceLogonRight =
   SeDenyNetworkLogonRight =
   SeUndockPrivilege = *S-1-5-32-544
   SeSyncAgentPrivilege =
   SeEnableDelegationPrivilege = *S-1-5-32-544
   [Version]
   signature="$CHICAGO$"
   Revision=1
   [Registry Values]
   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1

Observa��o Caso o IIS esteja instalado, � necess�rio adicionar os seguintes direitos do usu�rio. A vari�vel nome_do_servidor � um espa�o reservado e que deve ser editado para refletir as configura��es do computador:

   SeBatchLogonRight = IWAM_servername,IUSR_servername
   SeInteractiveLogonRight = IUSR_servername
   SeNetworkLogonRight = IUSR_servername

Salve e feche o novo arquivo GptTmpl.inf.

Incremente a vers�o da diretiva de grupo. � necess�rio aumentar a vers�o da diretiva de grupo para assegurar a manuten��o das altera��es na diretiva. O arquivo Gpt.ini controla os n�meros de vers�o do modelo da diretiva de grupo.
1. Abra o arquivo Gpt.ini na seguinte localiza��o:
  caminho_de_sysvol\sysvol\nome _de _dom�nio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
2. Aumente o n�mero de vers�o para um n�mero grande o suficiente para garantir que a replica��o normal n�o far� o n�mero da nova vers�o se tornar desatualizado antes da redefini��o da diretiva. � prefer�vel incrementar o n�mero adicionando o n�mero "0" ao final do n�mero de vers�o ou o n�mero "1" ao in�cio do n�mero de vers�o.
3. Salve e feche o arquivo Gpt.ini.
Aplique a nova diretiva de grupo. Use Secedit para atualizar manualmente a diretiva de grupo. Isto pode ser realizado, digitando a seguinte linha em um prompt de comando:
secedit /refreshpolicy machine_policy /enforce
Em Visualizar eventos, verifique o log do aplicativo em busca do n�mero de evento "1704" para verificar o �xito da propaga��o da diretiva. Para obter mais informa��es sobre como atualizar a diretiva de grupo, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a p�gina pode estar em ingl�s):
227448� (http://support.microsoft.com/kb/227448/ ) Como usar o Secedit.exe para for�ar uma nova aplica��o da diretiva de grupo

A informa��o contida neste artigo aplica-se a:

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server

Voltar para o in�cio

kbgpo kbhowto KB267553

This site in other countries/regions:

Como redefinir direitos de usu�rio no objeto da diretiva de grupo Diretiva Controladores de dom�nio padr�o

Sum�rio

Mais Informa��es

Permiss�es compat�veis com usu�rios anteriores ao Windows 2000

Permiss�es compat�veis apenas com usu�rios do Windows 2000

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Tradu��es deste artigo

Centros de suporte relacionados