วิธีการตั้งค่าสิทธิ์ของผู้ใช้ในวัตถุของนโยบายกลุ่มตัวควบคุมโดเมนที่เริ่มต้น

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 267553 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
หมายเหตุ
บทความนี้สามารถใช้ได้กับ Windows 2000การสนับสนุนสำหรับสิ้นสุดของ Windows 2000 ในเดือน 13 กรกฎาคม 2010กระบวนการศูนย์โซลูชัน windows 2000 สิ้นสุดของบริการเป็นจุดเริ่มต้นสำหรับการวางแผนเชิงกลยุทธ์การย้ายข้อมูลระบบของคุณจาก Windows 2000 สำหรับข้อมูลเพิ่มเติมให้ดูนโยบาย Lifecycle ฝ่ายสนับสนุนของ Microsoft.
ขยายทั้งหมด | ยุบทั้งหมด

สรุป

ค่าเริ่มต้นโดเมนตัวควบคุม Group Policy object (GPO) ประกอบด้วยการตั้งค่าสิทธิ์ของผู้ใช้เริ่มต้นจำนวนมาก ในบางกรณี การเปลี่ยนแปลงการตั้งค่าเริ่มต้นอาจสร้างลักษณะพิเศษ undesirable ซึ่งอาจส่งผลในสภาพที่ซึ่งข้อจำกัดที่ไม่คาดคิดที่มีอยู่บนสิทธิ์ของผู้ใช้ ถ้ามีการเปลี่ยนแปลงที่ไม่คาดคิด หรือถ้าการเปลี่ยนแปลงไม่ถูกบันทึกที่ไม่รู้จัก การเปลี่ยนแปลงใดเกิดขึ้น คุณอาจจำเป็นเพื่อรีเซ็ตการตั้งค่าสิทธิ์ของผู้ใช้เหล่านี้เป็นค่าเริ่มต้นของตนเอง

สถานการณ์นี้ยังอาจส่งผลถ้าเนื้อหาของโฟลเดอร์ Sysvol ได้ด้วยตนเอง rebuilt หรือเรียกคืนจากการสำรองข้อมูล โดยใช้ขั้นตอนต่าง ๆ ในบทความในฐานความรู้ของ Microsoft ต่อไปนี้:
253268ข้อความแสดงข้อผิดพลาดของนโยบายกลุ่มเมื่อ Sysvol เนื้อหาที่เหมาะสมขาดหายไป
คุณอาจจะจำเป็นในการตั้งค่าใหม่SeInteractiveLogonRightและSeDenyInteractiveLogonRightการตั้งค่าสิทธิ์ของผู้ใช้ที่เป็นค่าเริ่มต้นของตนเองถ้าคุณได้รับข้อความแสดงข้อความแสดงข้อผิดพลาดต่อไปนี้เมื่อคุณพยายามเข้าสู่ระบบคอนโซลของตัวควบคุมโดเมน:
นโยบายภายในเครื่องของระบบนี้ไม่อนุญาตให้คุณเข้าสู่ระบบ interactively

ข้อมูลเพิ่มเติม

มีสามขั้นตอนที่ต้องการตั้งค่าการกำหนดสิทธิ์ของผู้ใช้สำหรับการวัตถุนโยบายกลุ่ม:
  1. ล็อกออโหมดคืนค่าบริการไดเรกทอรี
  2. แก้ไขแฟ้ม GptTmpl.inf
  3. เพิ่มรุ่นนโยบายกลุ่ม (นี้เปลี่ยนแปลงใน Gpt.ini)
  4. ใช้นโยบายกลุ่มใหม่
หมายเหตุ:สามารถ cautious เมื่อดำเนินการขั้นตอนเหล่านี้ การกำหนดค่าแม่แบบของวัตถุนโยบายกลุ่มไม่ถูกต้องอาจแสดงตัวควบคุมโดเมนของคุณใช้งานไม่
  1. แก้ไขแฟ้ม GptTmpl.inf การตั้งค่าสิทธิ์ของผู้ใช้อาจถูกรีเซ็ตเป็นค่าเริ่มต้น ด้วยการแก้ไขแฟ้ม GptTmpl.inf แฟ้มนี้อยู่ในโฟลเดอร์'นโยบายกลุ่ม'ภายใต้โฟลเดอร์ Sysvol:
    เส้นทาง sysvol\sysvol\ชื่อโดเมน\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\Machine :\Microsoft\Windows NT\SecEdit
    หมายเหตุ:เส้นทางเริ่มต้นสำหรับโฟลเดอร์ Sysvol คือ %SystemRoot%\Sysvol

    การตั้งค่าสิทธิ์ของผู้ใช้การตั้งค่าเริ่มต้นเรียบร้อยแล้ว แทนที่ข้อมูลที่มีอยู่ในแฟ้ม GptTmpl.inf ด้วยสิทธิของผู้ใช้ข้อมูลต่อไปนี้ของเริ่มต้น คุณสามารถคัดลอก และวางส่วนที่เหมาะสมด้านล่างนี้ลงในแฟ้ม GptTmpl.inf ของคุณที่มีอยู่

    โปรดสังเกตการตั้งค่าสิทธิ์สำหรับแต่ละต้นแบบ คุณควรใช้แม่แบบที่ถูกต้องสำหรับการติดตั้งของคุณโดยยึดตามการตั้งค่าสิทธิ์ผู้ใช้ที่ต้องการของคุณ

    หมายเหตุ:Microsoft แนะนำอย่างยิ่งให้สำรองข้อมูลแฟ้ม GptTmpl.inf ก่อนทำการเปลี่ยนแปลงเหล่านี้

    สิทธิ์ที่เข้ากันได้กับผู้ใช้ Pre-Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    หมายเหตุ:ถ้ามีการติดตั้งบริการข้อมูลทางอินเทอร์เน็ต คุณต้องผนวกบัญชีผู้ใช้ต่อไปนี้ที่แสดงรายการอยู่แล้วสำหรับสิทธิ์เหล่านี้:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    โดยที่ตัวแปร% servername %ตัวยึด และคุณควรแก้ไขเพื่อให้สะท้อนถึงการตั้งค่าของคอมพิวเตอร์

    ตัวอย่างจะมีลักษณะดังนี้:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    หมายเหตุ:ถ้ามีการติดตั้งบริการเทอร์มินัล คุณต้องผนวกบัญชีผู้ใช้ต่อไปนี้ที่ระบุไว้สำหรับสิทธิ์นี้อยู่แล้ว:
       SeInteractiveLogonRight = TsInternetUser
    					
    ตัวอย่างจะมีลักษณะดังนี้:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    - หรือนี้-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    สิทธิ์ที่เข้ากันได้กับผู้ใช้ Windows 2000 เท่านั้น

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    หมายเหตุ:ถ้ามีการติดตั้งบริการข้อมูลทางอินเทอร์เน็ต คุณจำเป็นต้องเพิ่มสิทธิ์ของผู้ใช้ต่อไปนี้ กระบวนการServernameตัวแปรเป็นตัวยึด และคุณควรแก้ไขเพื่อให้สะท้อนถึงการตั้งค่าคอมพิวเตอร์:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    บันทึก และจากนั้น ให้ปิดแฟ้ม GptTmpl.inf ใหม่


  2. เพิ่มรุ่นของนโยบายกลุ่ม คุณต้องเพิ่มรุ่นของนโยบายกลุ่มเพื่อให้แน่ใจที่จะเก็บการเปลี่ยนแปลงนโยบาย แฟ้ม Gpt.ini ควบคุมหมายเลขเวอร์ชันของแม่แบบของนโยบายกลุ่ม
    1. เปิดแฟ้ม Gpt.ini จากตำแหน่งที่ตั้งต่อไปนี้:
      เส้นทาง sysvol\sysvol\ชื่อโดเมน\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9 }
    2. เพิ่มรุ่นหมายเลขเป็นจำนวนมีขนาดใหญ่พอที่จะรับประกันได้ว่า การจำลองแบบปกติจะไม่ทำให้หมายเลขรุ่นใหม่ที่จะล้าสมัยก่อนที่นโยบายสามารถถูกตั้งค่าใหม่ เป็น preferable เพิ่มหมายเลข โดยทั้งเพิ่มหมายเลข "0" จุดสิ้นสุดของหมายเลขเวอร์ชัน หรือหมายเลข "1" ไปยังจุดเริ่มต้นของหมายเลขเวอร์ชัน
    3. บันทึก และปิดแฟ้ม Gpt.ini
  3. ใช้นโยบายกลุ่มใหม่ ใช้ Secedit การฟื้นฟูนโยบายกลุ่มได้ด้วยตนเอง This can be accomplished by typing the following line at a command prompt:
    secedit /refreshpolicy machine_policy / การบังคับใช้
    In Event Viewer, check the Application Log for event number "1704" to verify successful policy propagation.For more information about refreshing the group policy, click the following article number to view the article in the Microsoft Knowledge Base:
    227448Using Secedit.exe to force group policy to be applied again

คุณสมบัติ

หมายเลขบทความ (Article ID): 267553 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbgpo kbhowto kbmt KB267553 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:267553

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com