Як скинути права об'єкта за промовчанням політики контролерів домену група

Номер статті: 267553 - Показ продуктів, яких стосується ця стаття.
Машинний перекладКлацніть тут, щоб переглянути відмову від машинного перекладу матеріалів бази знань
Примітка
Ця стаття відноситься до Windows 2000. Підтримка для Windows 2000 закінчується 13 липня 2010. На Windows 2000 закінчення підтримки Центру вирішень
(http://support.microsoft.com/win2000)
є відправною точкою для планування вашого стратегія міграції від Windows 2000. Для отримання додаткової інформації див на Політика підтримки Microsoft життєвого циклу
(http://support.microsoft.com/lifecycle/)
.
Розгорнути все | Згорнути все

ПІДСУМКИ

Об'єкта за промовчанням домен контролери групової політики (GPO) містить багато параметрів за умовчанням прав користувача. У деяких випадках змінюючи настройки за промовчанням може виробляти небажаних наслідків. Це може призвести в умові де несподіваних обмеження існують на права. Якщо зміни є несподіваним, або якщо зміни не були записані, так що невідомо, які зміни були зроблені, він може знадобитися скинути настройки цих прав користувача значення за промовчанням.

Ця ситуація також може призвести, якщо вміст папки Sysvol вручну були перебудовані, або відновити з резервної копії, виконавши наведені у статті бази знань Microsoft Knowledge Base:
253268
(http://support.microsoft.com/kb/253268/ )
Коли відсутні відповідні Sysvol вміст з'являється протокол IMAP про помилку політики групи
Це може бути також необхідно скинути параметри прав користувача SeInteractiveLogonRight і SeDenyInteractiveLogonRight значення за промовчанням, якщо з'явитися таке протокол IMAP про помилку під Вільний час спроби увійти до консолі контролера домену:
Локальна політика цієї системи не допускає інтерактивно вхід до системи

ДОДАТКОВІ ВІДОМОСТІ

Є три кроки, які необхідно скинути призначення прав користувача для GPO:
  1. увійти на режим відновлення служб каталогів.
  2. Редагування файлу GptTmpl.inf.
  3. Приріст групової політики версія (цієї зміни у на Gpt.ini).
  4. Застосувати нові групової політики.
Примітка Будьте обережними під Вільний час виконання цих дій. Неправильне настроювання шаблону GPO може ладу ваш контролерів домену.
  1. Редагування файлу GptTmpl.inf. Налаштування прав користувача може скинути за промовчанням шляхом редагування файлу GptTmpl.inf. Цей файл міститься в папці групової політики відповідно Sysvol папки:
    Sysvol шлях\sysvol\ім'я домену\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\МАШИНА\Microsoft\Windows NT\SecEdit
    Примітка За промовчанням шлях папки Sysvol є %SystemRoot%\Sysvol

    Повністю скидання параметрів за промовчанням, права, замінити наявну інформацію у файлі GptTmpl.inf такі відомості права за промовчанням. Можна скопіювати та вставити відповідний розділ нижче в існуючий файл GptTmpl.inf.

    Зверніть увагу, настройки дозволів для кожного шаблона. Ви повинні використовувати правильний шаблон для установки на основі настройок бажаного прав користувача.

    Примітка корпорація Майкрософт настійно рекомендує, резервне GptTmpl.inf файл, перш ніж ці зміни.

    Дозволи сумісний із старіших версій Windows 2000 користувачі

       [Unicode]
   Unicode=yes
   [Event Audit]
   AuditSystemEvents = 0
   AuditLogonEvents = 0
   AuditObjectAccess = 0
   AuditPrivilegeUse = 0
   AuditPolicyChange = 0
   AuditAccountManage = 0
   AuditProcessTracking = 0
   AuditDSAccess = 0
   AuditAccountLogon = 0
   [Privilege Rights]
   SeAssignPrimaryTokenPrivilege =
   SeAuditPrivilege =
   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeBatchLogonRight = 
   SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeCreatePagefilePrivilege = *S-1-5-32-544
   SeCreatePermanentPrivilege =
   SeCreateTokenPrivilege =
   SeDebugPrivilege = *S-1-5-32-544
   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
   SeIncreaseQuotaPrivilege = *S-1-5-32-544
   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeLoadDriverPrivilege = *S-1-5-32-544
   SeLockMemoryPrivilege =
   SeMachineAccountPrivilege = *S-1-5-11  
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeProfileSingleProcessPrivilege = *S-1-5-32-544
   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeSecurityPrivilege = *S-1-5-32-544
   SeServiceLogonRight =
   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeSystemEnvironmentPrivilege = *S-1-5-32-544
   SeSystemProfilePrivilege = *S-1-5-32-544
   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeTakeOwnershipPrivilege = *S-1-5-32-544
   SeTcbPrivilege =
   SeDenyInteractiveLogonRight =
   SeDenyBatchLogonRight =
   SeDenyServiceLogonRight =
   SeDenyNetworkLogonRight =
   SeUndockPrivilege = *S-1-5-32-544
   SeSyncAgentPrivilege =
   SeEnableDelegationPrivilege = *S-1-5-32-544
   [Version]
   signature="$CHICAGO$"
   Revision=1
   [Registry Values]
   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    Примітка Якщо інстальовано Інформаційні служби Інтернету, необхідно додавати такі облікові запис А бізнес-партнера користувачів для тих, хто вже перераховані до цих прав:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
   SeInteractiveLogonRight = IUSR_%servername%
   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    де ім'я _ сервера % % змінна є рамкою, і ви повинні змінити для відображення параметрів комп'ютера.

    Приклад буде виглядати так:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    Примітка Якщо інстальовано служба терміналів, повинні додавати наступні обліковий запис А комп'ютера користувача, для тих, хто вже перераховані за це право:
       SeInteractiveLogonRight = TsInternetUser
    Приклад буде виглядати так:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    - або цього-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser

    Дозволи, сумісні тільки з користувачів Windows 2000

       [Unicode]
   Unicode=yes 
   [Event Audit]
   AuditSystemEvents = 0
   AuditLogonEvents = 0
   AuditObjectAccess = 0
   AuditPrivilegeUse = 0
   AuditPolicyChange = 0
   AuditAccountManage = 0
   AuditProcessTracking = 0
   AuditDSAccess = 0  
   AuditAccountLogon = 0
   [Privilege Rights]
   SeAssignPrimaryTokenPrivilege =
   SeAuditPrivilege =
   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeBatchLogonRight = 
   SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeCreatePagefilePrivilege = *S-1-5-32-544
   SeCreatePermanentPrivilege =
   SeCreateTokenPrivilege =
   SeDebugPrivilege = *S-1-5-32-544
   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
   SeIncreaseQuotaPrivilege = *S-1-5-32-544
   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeLoadDriverPrivilege = *S-1-5-32-544
   SeLockMemoryPrivilege =
   SeMachineAccountPrivilege = *S-1-5-11
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   SeProfileSingleProcessPrivilege = *S-1-5-32-544
   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
   SeSecurityPrivilege = *S-1-5-32-544
   SeServiceLogonRight =
   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
   SeSystemEnvironmentPrivilege = *S-1-5-32-544
   SeSystemProfilePrivilege = *S-1-5-32-544
   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
   SeTakeOwnershipPrivilege = *S-1-5-32-544
   SeTcbPrivilege =
   SeDenyInteractiveLogonRight =
   SeDenyBatchLogonRight =
   SeDenyServiceLogonRight =
   SeDenyNetworkLogonRight =
   SeUndockPrivilege = *S-1-5-32-544
   SeSyncAgentPrivilege =
   SeEnableDelegationPrivilege = *S-1-5-32-544
   [Version]
   signature="$CHICAGO$"
   Revision=1
   [Registry Values]
   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    Примітка Якщо інстальовано Інформаційні служби Інтернету, ви повинні додати наступні права. Змінна ім'я _ сервера є рамкою, і ви повинні змінити для відображення параметрів комп'ютера:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
   SeInteractiveLogonRight = IUSR_servername
   SeNetworkLogonRight = IUSR_servername
    Збережіть і закрийте новий файл GptTmpl.inf.


  2. Приріст Версія групової політики. Ви повинні збільшити групової політики Версія для того, щоб політики, зміни зберігаються. Gpt.ini файл контролює номери версій шаблону групової політики.
    1. Відкрийте файл, Gpt.ini із цього розташування:
      Sysvol шлях\sysvol\ім'я домену\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Збільшити номер достатньо великий, щоб гарантувати, що нормальний реплікацію не зробить новий номер версії застаріти, перш ніж можна скинути політика, номер версії . Бажано, Збільшення числа, додавши або число "0" в кінці номер версії, або кількість "1" на початку номера версії.
    3. Збережіть файл і закрийте Gpt.ini.
  3. Застосувати нові групової політики. Використовувати Secedit, щоб вручну оновити групової політики. Це можна зробити, ввівши такий рядок у командному рядку:
    SECEDIT /refreshpolicy machine_policy / дотримання
    У засобі перегляду подій Перевірте журнал застосунку для подія номера "1704" перевірити успішних політики розповсюдження. Щоб отримати додаткові відомості про оновлення групової політики клацніть номер статті в базі знань Microsoft Knowledge Base:
    227448
    (http://support.microsoft.com/kb/227448/ )
    За допомогою Secedit.exe силою групової політики, щоб застосувати знову

Властивості

Номер статті: 267553 - Востаннє переглянуто: 3 липня 2012 р. - Редакція: 2.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключові слова: 
kbgpo kbhowto kbmt KB267553 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 267553
(http://support.microsoft.com/kb/267553/en-us/ )
На початок | Надіслати відгук

Надіслати відгук

 
На початокНа початок