Varsayılan etki alanı denetleyicisi Grup ilkesi nesnesindeki kullanıcı hakları sıfırlama hakkında

Makale çevirileri Makale çevirileri
Makale numarası: 267553 - Bu makalenin geçerli olduğu ürünleri görün.
Duyuru
Bu makalede, Windows 2000 için geçerlidir. 13 Temmuz 2010 üzerinde Windows 2000 Destek sonlandırıyor.Windows 2000 End-of-Support Solution Center, Windows 2000'den geçiş stratejisini planlama bir başlangıç noktasıdır. Daha fazla bilgi için Microsoft Support Lifecycle Policy "konusuna bakın.
Hepsini aç | Hepsini kapa

Özet

Varsayılan etki alanı denetleyicisi Grup ilkesi nesnesi (GPO), birçok varsayılan kullanıcı hakları ayarlarını içerir. Bazı durumlarda, varsayılan ayarların değiştirilmesi, istenmeyen etkileri üretebilir. Bu beklenmeyen kısıtlamaları, kullanıcı haklarını burada var olan bir koşula neden olabilir. Değişiklikleri beklenmeyen veya değişiklikleri kaydedilmeyen; böylece, bilinmiyor, hangi değişiklikleri yapıldı, bu kullanıcı hakları ayarlarını varsayılan değerlerine sıfırlamak gerekli olabilir.

Sysvol klasörü içeriği el ile bu durum da neden olabilir ya da yordamları kullanarak Microsoft Knowledge Base'de aşağıdaki makalede yedekten yeniden:
253268Uygun Sysvol içeriği eksik olduğunda Grup ilkesi hata iletisi
Ayrıca, etki alanı denetleyicisinin konsoluna oturum açmaya çalıştığınızda aşağıdaki hata iletisini alırsanız, Seınteractivelogonright ve Sedenyınteractivelogonright kullanıcı hakları ayarlarını varsayılan değerlerine sıfırlamak gerekli olabilir:
Sistemin yerel ilkesi, katılımlı oturum açmanıza izin vermiyor

Daha fazla bilgi

GPO için kullanıcı hakları atamalarını sıfırlamak için gereken üç adım bulunmaktadır:
  1. Oturum Dizin Hizmetleri geri yükleme modu.
  2. GptTmpl.inf dosyasını düzenleyin.
  3. Grup ilkesi sürümü (Bu değişiklik Gpt.ini yapılır) artırmak.
  4. Yeni Grup ilkesi uygulanır.
Not Bu adımları uygularken dikkatli olun. Hatalı GPO şablonu yapılandırma, etki alanı denetleyicileriniz çalışamaz oluşturma.
  1. GptTmpl.inf dosyasını düzenleyin. Kullanıcı hakları ayarlarını varsayılan olarak, GptTmpl.inf dosyasını düzenleyerek sıfırlanabilir. Bu dosya, SYSVOL klasörünün altındaki <a1>Grup ilkesi</a1> klasöründe bulunur:
    sysvol pathdomain name \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\ MACHINE \Microsoft\Windows NT\SecEdit \sysvol\
    Not SYSVOL klasörünün varsayılan yolunu %SystemRoot%\Sysvol olur.

    Tam kullanıcı hakları varsayılan ayarlarına sıfırlamak için <a0></a0>, aşağıdaki varsayılan kullanıcı hakları bilgilerle varolan bilgileri GptTmpl.inf dosyasını değiştirin. Kopyalayabilir ve aşağıda uygun bölümde, varolan GptTmpl.inf dosyasına yapıştırın.

    Lütfen her şablon için <a2>izin</a2> ayarlarını not alın. Istenen kullanıcı hakları ayarlarınıza göre yüklemenizin doğru şablonu kullanmanız gerekir.

    Not Microsoft, bu değişiklikleri yapmadan önce GptTmpl.inf dosyasını yedekleme önerir.

    Pre-Windows 2000 kullanıcılarıyla uyumlu izinler

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Not ınternet ınformation Services yüklüyse, aşağıdaki kullanıcı hesaplarının bu hakları listelenenler eklemek gerekir:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    % servername % değişkenini bir yer tutucudur ve bilgisayar ayarlarını yansıtacak şekilde düzenlemeniz gerekir.

    Örnek şu şekilde görünecektir:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    Not, Terminal Hizmetleri yüklendiğinde, zaten bu hakkı için listelenen için aşağıdaki kullanıcı hesabını Ekle:
       SeInteractiveLogonRight = TsInternetUser
    					
    bir örnek şu şekilde görünecektir:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    - veya bu-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Yalnızca Windows 2000 kullanıcılarıyla uyumlu izinler

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Not Internet ınformation Services da yüklüyse, aşağıdaki kullanıcı hakları'nı eklemeniz gerekir. Sunucuadı değişkeni bir yer tutucudur ve bilgisayar ayarlarını yansıtacak şekilde düzenlemeniz gerekir:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    Kaydet ve yeni GptTmpl.inf dosyasını kapatın.


  2. Grup ilkesi sürümünü artırır. Değişiklikler korunur ilke sağlamak için Grup ilkesi sürüm artırmanız gerekir. Gpt.ini dosyasını, Grup ilkesi şablonu sürüm numaraları denetler.
    1. Gpt.ini dosyasını aşağıdaki konumdan:
      etki alanı adı \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9 \sysvol\ bir Sysvol yolu}
    2. Sürüm numarası ilke sıfırlamak için önce eski haline yeni sürüm numarasını, normal çoğaltma yapacak güvence altına almak için yeterince büyük bir sayıya yükseltin. Bu, her iki sürüm numarası sonuna "0" numarasını veya sayısını "1" için başlangıç sürüm numarası ekleyerek sayısını artırmak için tercih edilir.
    3. Kaydedip Gpt.ini dosyayı kapatın.
  3. Yeni Grup ilkesi uygulanır. El ile grup ilkesini yenilemek için Secedit kullanın. Bu, komut istemine aşağıdaki satırı yazarak gerçekleştirilebilir:
    secedit/refreshpolicy machine_policy / enforce
    Olay Görüntüleyicisi'nde, başarılı bir ilke yayma doğrulamak için uygulama günlüğüne olay numarası "1704" için denetleyin. Grup ilkesini yenileme hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    227448Secedit.exe aracını kullanarak Grup İlkesi'ni yeniden uygulanmaya zorlama

Özellikler

Makale numarası: 267553 - Last Review: 1 Mart 2007 Perşembe - Gözden geçirme: 4.5
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Anahtar Kelimeler: 
kbmt kbgpo kbhowto KB267553 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:267553

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com