Як скинути права об'єкта за промовчанням політики контролерів домену група

Переклади статей Переклади статей
Номер статті: 267553 - Показ продуктів, яких стосується ця стаття.
Примітка
Ця стаття відноситься до Windows 2000. Підтримка для Windows 2000 закінчується 13 липня 2010. На Windows 2000 закінчення підтримки Центру вирішень є відправною точкою для планування вашого стратегія міграції від Windows 2000. Для отримання додаткової інформації див на Політика підтримки Microsoft життєвого циклу.
Розгорнути все | Згорнути все

ПІДСУМКИ

Об'єкта за промовчанням домен контролери групової політики (GPO) містить багато параметрів за умовчанням прав користувача. У деяких випадках змінюючи настройки за промовчанням може виробляти небажаних наслідків. Це може призвести в умові де несподіваних обмеження існують на права. Якщо зміни є несподіваним, або якщо зміни не були записані, так що невідомо, які зміни були зроблені, він може знадобитися скинути настройки цих прав користувача значення за промовчанням.

Ця ситуація також може призвести, якщо вміст папки Sysvol вручну були перебудовані, або відновити з резервної копії, виконавши наведені у статті бази знань Microsoft Knowledge Base:
253268 Коли відсутні відповідні Sysvol вміст з'являється протокол IMAP про помилку політики групи
Це може бути також необхідно скинути параметри прав користувача SeInteractiveLogonRight і SeDenyInteractiveLogonRight значення за промовчанням, якщо з'явитися таке протокол IMAP про помилку під Вільний час спроби увійти до консолі контролера домену:
Локальна політика цієї системи не допускає інтерактивно вхід до системи

ДОДАТКОВІ ВІДОМОСТІ

Є три кроки, які необхідно скинути призначення прав користувача для GPO:
  1. увійти на режим відновлення служб каталогів.
  2. Редагування файлу GptTmpl.inf.
  3. Приріст групової політики версія (цієї зміни у на Gpt.ini).
  4. Застосувати нові групової політики.
Примітка Будьте обережними під Вільний час виконання цих дій. Неправильне настроювання шаблону GPO може ладу ваш контролерів домену.
  1. Редагування файлу GptTmpl.inf. Налаштування прав користувача може скинути за промовчанням шляхом редагування файлу GptTmpl.inf. Цей файл міститься в папці групової політики відповідно Sysvol папки:
    Sysvol шлях\sysvol\ім'я домену\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\МАШИНА\Microsoft\Windows NT\SecEdit
    Примітка За промовчанням шлях папки Sysvol є %SystemRoot%\Sysvol

    Повністю скидання параметрів за промовчанням, права, замінити наявну інформацію у файлі GptTmpl.inf такі відомості права за промовчанням. Можна скопіювати та вставити відповідний розділ нижче в існуючий файл GptTmpl.inf.

    Зверніть увагу, настройки дозволів для кожного шаблона. Ви повинні використовувати правильний шаблон для установки на основі настройок бажаного прав користувача.

    Примітка корпорація Майкрософт настійно рекомендує, резервне GptTmpl.inf файл, перш ніж ці зміни.

    Дозволи сумісний із старіших версій Windows 2000 користувачі

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Примітка Якщо інстальовано Інформаційні служби Інтернету, необхідно додавати такі облікові запис А бізнес-партнера користувачів для тих, хто вже перераховані до цих прав:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    де ім'я _ сервера % % змінна є рамкою, і ви повинні змінити для відображення параметрів комп'ютера.

    Приклад буде виглядати так:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    Примітка Якщо інстальовано служба терміналів, повинні додавати наступні обліковий запис А комп'ютера користувача, для тих, хто вже перераховані за це право:
       SeInteractiveLogonRight = TsInternetUser
    					
    Приклад буде виглядати так:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    - або цього-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Дозволи, сумісні тільки з користувачів Windows 2000

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Примітка Якщо інстальовано Інформаційні служби Інтернету, ви повинні додати наступні права. Змінна ім'я _ сервера є рамкою, і ви повинні змінити для відображення параметрів комп'ютера:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    Збережіть і закрийте новий файл GptTmpl.inf.


  2. Приріст Версія групової політики. Ви повинні збільшити групової політики Версія для того, щоб політики, зміни зберігаються. Gpt.ini файл контролює номери версій шаблону групової політики.
    1. Відкрийте файл, Gpt.ini із цього розташування:
      Sysvol шлях\sysvol\ім'я домену\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Збільшити номер достатньо великий, щоб гарантувати, що нормальний реплікацію не зробить новий номер версії застаріти, перш ніж можна скинути політика, номер версії . Бажано, Збільшення числа, додавши або число "0" в кінці номер версії, або кількість "1" на початку номера версії.
    3. Збережіть файл і закрийте Gpt.ini.
  3. Застосувати нові групової політики. Використовувати Secedit, щоб вручну оновити групової політики. Це можна зробити, ввівши такий рядок у командному рядку:
    SECEDIT /refreshpolicy machine_policy / дотримання
    У засобі перегляду подій Перевірте журнал застосунку для подія номера "1704" перевірити успішних політики розповсюдження. Щоб отримати додаткові відомості про оновлення групової політики клацніть номер статті в базі знань Microsoft Knowledge Base:
    227448За допомогою Secedit.exe силою групової політики, щоб застосувати знову

Властивості

Номер статті: 267553 - Востаннє переглянуто: 3 липня 2012 р. - Редакція: 2.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключові слова: 
kbgpo kbhowto kbmt KB267553 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 267553

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com