如何在默认域控制器组策略对象中重置用户权限

文章翻译 文章翻译
文章编号: 267553 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

默认域控制器组策略对象 (GPO) 包含许多默认的用户权限设置。在有些情况下,更改默认设置可能会产生不希望出现的效果。这可能会导致出现对用户权限形成意外限制的情况。如果更改不是您所期望的,或者因为未记录所做的更改而不知道做了哪些更改,则可能有必要将这些用户权限设置重置为其默认值。

如果 Sysvol 文件夹的内容被手动重新编辑,或者是使用以下 Microsoft 知识库文章中介绍的步骤从备份还原的,则也可能会出现这一情况:
253268 丢失适当的 Sysvol 内容时出现组策略错误消息


当您尝试登录到域控制器的控制台时,如果收到以下错误信息,可能还必须将 SeInteractiveLogonRightSeDenyInteractiveLogonRight 用户权限设置重置为它们的默认值:
The local policy of this system does not permit you to logon interactively

更多信息

重置 GPO 的用户权限指派需要三个步骤:
  1. 编辑 GptTmpl.inf 文件。
  2. 提高组策略的版本(该更改可以在 Gpt.ini 文件夹中完成)。
  3. 应用新的组策略。
注意:执行这些步骤时一定要小心。GPO 模板配置不当可能导致域控制器无法运行。
  1. 编辑 GptTmpl.inf 文件。可以通过编辑 GptTmpl.inf 文件将用户权限设置重置为默认值。该文件位于“组策略”文件夹下的 Sysvol 文件夹中:
    sysvol 路径\sysvol\域名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
    注意:Sysvol 文件夹的默认路径为 %SystemRoot%\Sysvol

    要完全将用户权限重置为默认设置,请用以下默认的用户权限信息替代 GptTmpl.inf 文件中的现有信息。您可以复制下面适当的节并将其粘贴到现有的 GptTmpl.inf 文件中。

    请注意各个模板的权限设置。您应该根据所需的用户权限设置使用正确的安装模板。

    注意:Microsoft 强烈建议您在进行这些更改之前先备份 GptTmpl.inf 文件。

    与 Windows 2000 以前版本的用户兼容的权限

    [Unicode]
    Unicode=yes
    [Event Audit]
    AuditSystemEvents = 0
    AuditLogonEvents = 0
    AuditObjectAccess = 0
    AuditPrivilegeUse = 0
    AuditPolicyChange = 0
    AuditAccountManage = 0
    AuditProcessTracking = 0
    AuditDSAccess = 0
    AuditAccountLogon = 0
    [Privilege Rights]
    SeAssignPrimaryTokenPrivilege =
    SeAuditPrivilege =
    SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
    SeBatchLogonRight = 
    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
    SeCreatePagefilePrivilege = *S-1-5-32-544
    SeCreatePermanentPrivilege =
    SeCreateTokenPrivilege =
    SeDebugPrivilege = *S-1-5-32-544
    SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
    SeIncreaseQuotaPrivilege = *S-1-5-32-544
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
    SeLoadDriverPrivilege = *S-1-5-32-544
    SeLockMemoryPrivilege =
    SeMachineAccountPrivilege = *S-1-5-11  
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
    SeProfileSingleProcessPrivilege = *S-1-5-32-544
    SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
    SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
    SeSecurityPrivilege = *S-1-5-32-544
    SeServiceLogonRight =
    SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
    SeSystemEnvironmentPrivilege = *S-1-5-32-544
    SeSystemProfilePrivilege = *S-1-5-32-544
    SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
    SeTakeOwnershipPrivilege = *S-1-5-32-544
    SeTcbPrivilege =
    SeDenyInteractiveLogonRight =
    SeDenyBatchLogonRight =
    SeDenyServiceLogonRight =
    SeDenyNetworkLogonRight =
    SeUndockPrivilege = *S-1-5-32-544
    SeSyncAgentPrivilege =
    SeEnableDelegationPrivilege = *S-1-5-32-544
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [Registry Values]
    MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    注意:如果安装了 Internet 信息服务,则必须将以下用户帐户附加到这些权限已列出的帐户后面:
    SeBatchLogonRight = IWAM_%服务器名%,IUSR_%服务器名%
    SeInteractiveLogonRight = IUSR_%服务器名%
    SeNetworkLogonRight = IWAM_%服务器名%,IUSR_%服务器名%
    					
    其中,%服务器名% 变量是一个占位符,您应该编辑它以反映出计算机设置。

    例如:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    注意:如果安装了终端服务,则必须将以下用户帐户附加到此权限已列出的帐户后面:
    SeInteractiveLogonRight = TsInternetUser
    					
    例如:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    - 或 -
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    只与 Windows 2000 用户兼容的权限

    [Unicode]
    Unicode=yes
    [Event Audit]
    AuditSystemEvents = 0
    AuditLogonEvents = 0
    AuditObjectAccess = 0
    AuditPrivilegeUse = 0
    AuditPolicyChange = 0
    AuditAccountManage = 0
    AuditProcessTracking = 0
    AuditDSAccess = 0  
    AuditAccountLogon = 0
    [Privilege Rights]
    SeAssignPrimaryTokenPrivilege =
    SeAuditPrivilege =
    SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
    SeBatchLogonRight = 
    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
    SeCreatePagefilePrivilege = *S-1-5-32-544
    SeCreatePermanentPrivilege =
    SeCreateTokenPrivilege =
    SeDebugPrivilege = *S-1-5-32-544
    SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
    SeIncreaseQuotaPrivilege = *S-1-5-32-544
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
    SeLoadDriverPrivilege = *S-1-5-32-544
    SeLockMemoryPrivilege =
    SeMachineAccountPrivilege = *S-1-5-11
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
    SeProfileSingleProcessPrivilege = *S-1-5-32-544
    SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
    SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
    SeSecurityPrivilege = *S-1-5-32-544
    SeServiceLogonRight =
    SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
    SeSystemEnvironmentPrivilege = *S-1-5-32-544
    SeSystemProfilePrivilege = *S-1-5-32-544
    SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
    SeTakeOwnershipPrivilege = *S-1-5-32-544
    SeTcbPrivilege =
    SeDenyInteractiveLogonRight =
    SeDenyBatchLogonRight =
    SeDenyServiceLogonRight =
    SeDenyNetworkLogonRight =
    SeUndockPrivilege = *S-1-5-32-544
    SeSyncAgentPrivilege =
    SeEnableDelegationPrivilege = *S-1-5-32-544
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [Registry Values]
    MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    注意:如果安装有 Internet 信息服务,则必须添加以下用户权限。服务器名 变量是一个占位符,您应该编辑它以反映出计算机设置:
    SeBatchLogonRight = IWAM_服务器名,IUSR_服务器名
    SeInteractiveLogonRight = IUSR_服务器名
    SeNetworkLogonRight = IUSR_服务器名
    					
    保存并关闭新的 GptTmpl.inf 文件。


  2. 提高组策略的版本。您必须提高组策略的版本以确保保留策略更改。Gpt.ini 文件控制着组策略模板的版本号。
    1. 打开以下位置处的 Gpt.ini 文件:
      sysvol 路径\sysvol\域名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. 版本 号提高到一个足够大的数字,以确保在重置策略之前,通常的复制操作不会使新版本号过期。提高版本号最可取的做法是,将数字“0”添加到版本号的末尾,或将数字“1”添加到版本号的开头。
    3. 保存并关闭 Gpt.ini 文件。
  3. 应用新的组策略。使用 Secedit 手动刷新组策略。这可以通过在命令提示符处键入以下命令行来完成:
    secedit /refreshpolicy machine_policy /enforce
    在事件查看器中,查看应用程序日志中的事件号“1704”,以确认策略是否成功传播。有关刷新组策略的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    227448 使用 Secedit.exe 强制重新应用组策略

属性

文章编号: 267553 - 最后修改: 2004年6月16日 - 修订: 4.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbhowto kbgpo KB267553
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com