Makale numarası: 267553 - Son Gözden Geçirme: 01 Mart 2007 Perşembe - Gözden geçirme: 4.5

Varsayılan etki alanı denetleyicisi Grup ilkesi nesnesindeki kullanıcı hakları sıfırlama hakkında

İngilizce ve Türkçe'yi yan yana görüntülemeBuraya tıklayarak İngilizce ve Türkçe'yi yan yana görüntüleyebilirsiniz.
Otomatik TercümeOtomatik tercüme makalelerin ne olduğunu açıklayan yazıyı okumak için buraya tıklayın
Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.
Duyuru
Bu makalede, Windows 2000 için geçerlidir. 13 Temmuz 2010 üzerinde Windows 2000 Destek sonlandırıyor.Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) , Windows 2000'den geçiş stratejisini planlama bir başlangıç noktasıdır. Daha fazla bilgi için Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) "konusuna bakın.
Hepsini aç | Hepsini kapa

Özet

Varsayılan etki alanı denetleyicisi Grup ilkesi nesnesi (GPO), birçok varsayılan kullanıcı hakları ayarlarını içerir. Bazı durumlarda, varsayılan ayarların değiştirilmesi, istenmeyen etkileri üretebilir. Bu beklenmeyen kısıtlamaları, kullanıcı haklarını burada var olan bir koşula neden olabilir. Değişiklikleri beklenmeyen veya değişiklikleri kaydedilmeyen; böylece, bilinmiyor, hangi değişiklikleri yapıldı, bu kullanıcı hakları ayarlarını varsayılan değerlerine sıfırlamak gerekli olabilir.

Sysvol klasörü içeriği el ile bu durum da neden olabilir ya da yordamları kullanarak Microsoft Knowledge Base'de aşağıdaki makalede yedekten yeniden:
253268  (http://support.microsoft.com/kb/253268/ ) Uygun Sysvol içeriği eksik olduğunda Grup ilkesi hata iletisi
Ayrıca, etki alanı denetleyicisinin konsoluna oturum açmaya çalıştığınızda aşağıdaki hata iletisini alırsanız, Seınteractivelogonright ve Sedenyınteractivelogonright kullanıcı hakları ayarlarını varsayılan değerlerine sıfırlamak gerekli olabilir:
Sistemin yerel ilkesi, katılımlı oturum açmanıza izin vermiyor

Daha fazla bilgi

GPO için kullanıcı hakları atamalarını sıfırlamak için gereken üç adım bulunmaktadır:
  1. Oturum Dizin Hizmetleri geri yükleme modu.
  2. GptTmpl.inf dosyasını düzenleyin.
  3. Grup ilkesi sürümü (Bu değişiklik Gpt.ini yapılır) artırmak.
  4. Yeni Grup ilkesi uygulanır.
Not Bu adımları uygularken dikkatli olun. Hatalı GPO şablonu yapılandırma, etki alanı denetleyicileriniz çalışamaz oluşturma.
  1. GptTmpl.inf dosyasını düzenleyin. Kullanıcı hakları ayarlarını varsayılan olarak, GptTmpl.inf dosyasını düzenleyerek sıfırlanabilir. Bu dosya, SYSVOL klasörünün altındaki <a1>Grup ilkesi</a1> klasöründe bulunur:
    sysvol pathdomain name \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\ MACHINE \Microsoft\Windows NT\SecEdit \sysvol\
    Not SYSVOL klasörünün varsayılan yolunu %SystemRoot%\Sysvol olur.

    Tam kullanıcı hakları varsayılan ayarlarına sıfırlamak için <a0></a0>, aşağıdaki varsayılan kullanıcı hakları bilgilerle varolan bilgileri GptTmpl.inf dosyasını değiştirin. Kopyalayabilir ve aşağıda uygun bölümde, varolan GptTmpl.inf dosyasına yapıştırın.

    Lütfen her şablon için <a2>izin</a2> ayarlarını not alın. Istenen kullanıcı hakları ayarlarınıza göre yüklemenizin doğru şablonu kullanmanız gerekir.

    Not Microsoft, bu değişiklikleri yapmadan önce GptTmpl.inf dosyasını yedekleme önerir.

    Pre-Windows 2000 kullanıcılarıyla uyumlu izinler

       [Unicode]
   Unicode=yes
   [Event Audit]
   AuditSystemEvents = 0
   AuditLogonEvents = 0
   AuditObjectAccess = 0
   AuditPrivilegeUse = 0
   AuditPolicyChange = 0
   AuditAccountManage = 0
   AuditProcessTracking = 0
   AuditDSAccess = 0
   AuditAccountLogon = 0
   [Privilege Rights]
   SeAssignPrimaryTokenPrivilege =
   SeAuditPrivilege =
   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeBatchLogonRight = 
   SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeCreatePagefilePrivilege = *S-1-5-32-544
   SeCreatePermanentPrivilege =
   SeCreateTokenPrivilege =
   SeDebugPrivilege = *S-1-5-32-544
   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
   SeIncreaseQuotaPrivilege = *S-1-5-32-544
   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeLoadDriverPrivilege = *S-1-5-32-544
   SeLockMemoryPrivilege =
   SeMachineAccountPrivilege = *S-1-5-11  
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeProfileSingleProcessPrivilege = *S-1-5-32-544
   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeSecurityPrivilege = *S-1-5-32-544
   SeServiceLogonRight =
   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeSystemEnvironmentPrivilege = *S-1-5-32-544
   SeSystemProfilePrivilege = *S-1-5-32-544
   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeTakeOwnershipPrivilege = *S-1-5-32-544
   SeTcbPrivilege =
   SeDenyInteractiveLogonRight =
   SeDenyBatchLogonRight =
   SeDenyServiceLogonRight =
   SeDenyNetworkLogonRight =
   SeUndockPrivilege = *S-1-5-32-544
   SeSyncAgentPrivilege =
   SeEnableDelegationPrivilege = *S-1-5-32-544
   [Version]
   signature="$CHICAGO$"
   Revision=1
   [Registry Values]
   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    Not ınternet ınformation Services yüklüyse, aşağıdaki kullanıcı hesaplarının bu hakları listelenenler eklemek gerekir: 
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
   SeInteractiveLogonRight = IUSR_%servername%
   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    % servername % değişkenini bir yer tutucudur ve bilgisayar ayarlarını yansıtacak şekilde düzenlemeniz gerekir.

    Örnek şu şekilde görünecektir: 
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    Not, Terminal Hizmetleri yüklendiğinde, zaten bu hakkı için listelenen için aşağıdaki kullanıcı hesabını Ekle: 
       SeInteractiveLogonRight = TsInternetUser
    bir örnek şu şekilde görünecektir: 
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    - veya bu- 
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser

    Yalnızca Windows 2000 kullanıcılarıyla uyumlu izinler

       [Unicode]
   Unicode=yes 
   [Event Audit]
   AuditSystemEvents = 0
   AuditLogonEvents = 0
   AuditObjectAccess = 0
   AuditPrivilegeUse = 0
   AuditPolicyChange = 0
   AuditAccountManage = 0
   AuditProcessTracking = 0
   AuditDSAccess = 0  
   AuditAccountLogon = 0
   [Privilege Rights]
   SeAssignPrimaryTokenPrivilege =
   SeAuditPrivilege =
   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeBatchLogonRight = 
   SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeCreatePagefilePrivilege = *S-1-5-32-544
   SeCreatePermanentPrivilege =
   SeCreateTokenPrivilege =
   SeDebugPrivilege = *S-1-5-32-544
   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
   SeIncreaseQuotaPrivilege = *S-1-5-32-544
   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeLoadDriverPrivilege = *S-1-5-32-544
   SeLockMemoryPrivilege =
   SeMachineAccountPrivilege = *S-1-5-11
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeProfileSingleProcessPrivilege = *S-1-5-32-544
   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeSecurityPrivilege = *S-1-5-32-544
   SeServiceLogonRight =
   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeSystemEnvironmentPrivilege = *S-1-5-32-544
   SeSystemProfilePrivilege = *S-1-5-32-544
   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeTakeOwnershipPrivilege = *S-1-5-32-544
   SeTcbPrivilege =
   SeDenyInteractiveLogonRight =
   SeDenyBatchLogonRight =
   SeDenyServiceLogonRight =
   SeDenyNetworkLogonRight =
   SeUndockPrivilege = *S-1-5-32-544
   SeSyncAgentPrivilege =
   SeEnableDelegationPrivilege = *S-1-5-32-544
   [Version]
   signature="$CHICAGO$"
   Revision=1
   [Registry Values]
   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    Not Internet ınformation Services da yüklüyse, aşağıdaki kullanıcı hakları'nı eklemeniz gerekir. Sunucuadı değişkeni bir yer tutucudur ve bilgisayar ayarlarını yansıtacak şekilde düzenlemeniz gerekir: 
       SeBatchLogonRight = IWAM_servername,IUSR_servername
   SeInteractiveLogonRight = IUSR_servername
   SeNetworkLogonRight = IUSR_servername
    Kaydet ve yeni GptTmpl.inf dosyasını kapatın.


  2. Grup ilkesi sürümünü artırır. Değişiklikler korunur ilke sağlamak için Grup ilkesi sürüm artırmanız gerekir. Gpt.ini dosyasını, Grup ilkesi şablonu sürüm numaraları denetler.
    1. Gpt.ini dosyasını aşağıdaki konumdan:
      etki alanı adı \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9 \sysvol\ bir Sysvol yolu}
    2. Sürüm numarası ilke sıfırlamak için önce eski haline yeni sürüm numarasını, normal çoğaltma yapacak güvence altına almak için yeterince büyük bir sayıya yükseltin. Bu, her iki sürüm numarası sonuna "0" numarasını veya sayısını "1" için başlangıç sürüm numarası ekleyerek sayısını artırmak için tercih edilir.
    3. Kaydedip Gpt.ini dosyayı kapatın.
  3. Yeni Grup ilkesi uygulanır. El ile grup ilkesini yenilemek için Secedit kullanın. Bu, komut istemine aşağıdaki satırı yazarak gerçekleştirilebilir:
    secedit/refreshpolicy machine_policy / enforce
    Olay Görüntüleyicisi'nde, başarılı bir ilke yayma doğrulamak için uygulama günlüğüne olay numarası "1704" için denetleyin. Grup ilkesini yenileme hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    227448  (http://support.microsoft.com/kb/227448/ ) Secedit.exe aracını kullanarak Grup İlkesi'ni yeniden uygulanmaya zorlama
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Üste
Anahtar Kelimeler: 
kbmt kbgpo kbhowto KB267553 KbMttr
Otomatik TercümeOtomatik Tercüme
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:267553  (http://support.microsoft.com/kb/267553/en-us/ )
Üste