Восстановление исходных настроек прав пользователей для объекта групповой политики, используемого контроллером домена по умолчанию

Переводы статьи Переводы статьи
Код статьи: 267553 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

Объект групповой политики, используемый контроллером домена по умолчанию, содержит множество исходных настроек для прав пользователей. В некоторых случаях изменение исходных настроек может привести к нежелательным результатам, например, к возникновению непредвиденных ограничений для прав пользователей. Если изменения были непреднамеренными или не были записаны (то есть при невозможности выяснить, какие именно изменения были произведены), может оказаться целесообразным восстановить исходные настройки прав пользователей.

Данная ситуация может также возникнуть в случае, если содержимое папки Sysvol было изменено вручную или восстановлено из резервной копии с помощью операций, описанных в следующей статье базы знаний Майкрософт:
253268 Сообщение об ошибке групповой политики при отсутствии соответствующего содержимого папки Sysvol (эта ссылка может указывать на содержимое полностью или частично на английском языке)


Если при попытке входа в систему консоли контроллера домена появляется приведенное ниже сообщение об ошибке, необходимо восстановить настройки по умолчанию для прав SeInteractiveLogonRight и SeDenyInteractiveLogonRight.
Интерактивный вход в систему на данном компьютере запрещен локальной политикой

Дополнительная информация

Для восстановления исходных настроек прав пользователей для объекта групповой политики необходимо выполнить следующие действия.
  1. Отредактировать файл GptTmpl.inf.
  2. Увеличить версию групповой политики (это изменение производится в файле Gpt.ini).
  3. Применить новую групповую политику.
Примечание. При выполнении этих действий соблюдайте осторожность. Неправильная настройка шаблона объекта групповой политики может привести к неработоспособности контроллеров домена.
  1. Отредактируйте файл GptTmpl.inf. Исходные настройки прав пользователей можно восстановить, отредактировав файл GptTmpl.inf. Этот файл находится в папке групповой политики в папке
    путь_к_папке_sysvol\sysvol\имя_домена\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\КОМПЬЮТЕР\Microsoft\Windows NT\SecEdit
    Примечание. Путь к папке Sysvol по умолчанию: %SystemRoot%\Sysvol

    Чтобы полностью восстановить исходные настройки прав пользователей, замените существующие данные в файле GptTmpl.inf следующими данными. Для этого можно скопировать следующий фрагмент, а затем вставить его в существующий файл GptTmpl.inf.

    Обратите внимание на настройки для каждого шаблона. Выберите правильный шаблон в зависимости от необходимых настроек прав пользователей.

    Примечание. Корпорация Майкрософт настоятельно рекомендует создать резервную копию файла GptTmpl.inf перед внесением этих изменений.

    Настройки, совместимые с версиями, предшествующими Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Примечание. Если на компьютере установлены службы IIS, к уже перечисленным для этих прав учетным записям пользователей необходимо добавить следующие:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    где %servername% – это местозаполнитель, который необходимо отредактировать в соответствии с параметрами компьютера.

    Пример:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    Примечание. Если на компьютере установлены службы терминалов, к уже перечисленным для этого права учетным записям пользователей необходимо добавить следующую:
       SeInteractiveLogonRight = TsInternetUser
    					
    Пример:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    -или-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Настройки, совместимые только с Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Примечание. Если на компьютере установлены службы IIS, следует добавить следующие права пользователей. servername – это местозаполнитель, который необходимо отредактировать в соответствии с параметрами компьютера.
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    Сохраните и закройте файл GptTmpl.inf.


  2. Увеличьте версию групповой политики. Чтобы обеспечить сохранение изменений, необходимо увеличить версию групповой политики. Номера версий шаблонов групповой политики отображаются в файле Gpt.ini.
    1. Откройте файл Gpt.ini. Он находится в следующей папке:
      путь_к_папке_sysvol\sysvol\имя_домена\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Увеличьте номер версии таким образом, чтобы при нормальной репликации новый номер версии не оказался устаревшим до сброса политики. Для этого рекомендуется добавить 0 к концу номер версии или 1 к началу номера версии.
    3. Сохраните и закройте файл Gpt.ini.
  3. Примените новую групповую политику. Воспользуйтесь средством Secedit, чтобы вручную обновить групповую политику. Для этого в командной строке введите следующую команду:
    secedit /refreshpolicy machine_policy /enforce
    В окне просмотра событий убедитесь в наличии события с кодом 1704 в журнале событий. Дополнительные сведения об обновлении групповой политики см. в следующей статье базы знаний Майкрософт:
    227448 Повторное применение групповой политики с помощью средства Secedit.exe (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 267553 - Последний отзыв: 13 февраля 2006 г. - Revision: 4.0
Информация в данной статье применима к:
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbgpo kbhowto KB267553

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com