如何重設預設網域控制站群組原則] 物件中的使用者權限

文章翻譯 文章翻譯
文章編號: 267553 - 檢視此文章適用的產品。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
全部展開 | 全部摺疊

結論

預設網域控制站群組原則物件 (GPO) 包含許多預設使用者權限設定。在某些情況下變更預設設定可能會產生非預期的效果。這可能會導致未預期的限制存在於使用者的權限的條件。如果所做的變更都是未預期,或如果所做的變更都不記錄,如此它是未知做哪些變更,它可能需要這些使用者權限設定值重設為其預設值。

這種情形也可能會造成如果 Sysvol 資料夾的內容已手動重建,或從備份還原使用下列的文件 「 Microsoft 知識庫 」 中的程序:
253268當群組原則時,出現錯誤訊息適當 Sysvol 內容已遺失
它可能也需要 SeInteractiveLogonRightSeDenyInteractiveLogonRight 使用者權限設定值重設為其預設值,如果您嘗試登入網域控制站主控台時,收到下列錯誤訊息:
這個系統的本機原則不允許您以互動方式登入

其他相關資訊

有三個重設使用者權利指派 GPO 的所需的步驟:
  1. 登入到目錄服務還原模式。
  2. 編輯 GptTmpl.inf 檔案。
  3. 遞增 (使用 [Gpt.ini 做此變更) 的群組原則版本。
  4. 套用新的群組原則。
附註時執行這些步驟,則要小心。不正確地設定 GPO 範本可能會使您的網域控制站無法運作。
  1. 編輯 GptTmpl.inf 檔案。 使用者權限設定可能會被重設為預設值由編輯 GptTmpl.inf 檔案。這個檔案位於 [Sysvol 資料夾下的 [群組原則] 資料夾中:
    sysvol path\sysvol\ domain name \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\ MACHINE \Microsoft\Windows NT\SecEdit
    附註Sysvol 資料夾的預設路徑是 %SystemRoot%\Sysvol

    若要完全重設預設設定使用者的權限,取代下列的預設使用者權限資訊 GptTmpl.inf 檔案中現有的資訊。您可以複製,然後將下面適當的區段貼到您現有的 GptTmpl.inf 檔案。

    請注意每個範本的權限設定。您應該使用正確的範本的安裝根據您所要的使用者權限的設定。

    附註Microsoft 強烈建議進行這些變更之前,先備份 GptTmpl.inf 檔案。

    相容於 Pre-Windows 2000 使用者的權限

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    附註如果安裝網際網路資訊服務必須將下列使用者帳戶附加到那些已經針對這些權限列出:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    %伺服器名稱 %變數是一個預留位置,並且應該編輯以反映電腦設定。

    範例看起來會像這樣:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    附註 如果 「 終端機服務 」 安裝,您必須將下列使用者帳戶附加到那些已經針對此權限列出:
       SeInteractiveLogonRight = TsInternetUser
    					
    範例看起來會像這樣:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    -或這個-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    僅與 Windows 2000 使用者相容的權限

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    附註如果安裝網際網路資訊服務您必須加入下列使用者權限。伺服器名稱 變數是一個預留位置,並且應該編輯以反映電腦設定:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    儲存後再關閉新 GptTmpl.inf 檔案。


  2. 增量群組原則版本。 您必須增加群組原則版本,以確保所做的變更會保留的原則。Gpt.ini 檔案控制群組原則範本版本號碼。
    1. 從下列位置開啟 Gpt.ini 檔案:
      sysvol 路徑 \sysvol\ 網域名稱 \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. 增加 版本 號碼為不夠大,無法保證該正常的複寫不會讓新過時,重設原則之前的版本號碼的數字。最好藉由新增編號"0"結尾的版本] 號碼或"1"開頭的數目版本號碼遞增號碼。
    3. 儲存並關閉 Gpt.ini 檔案。
  3. 套用新的群組原則。 使用 Secedit 手動重新整理群組原則。在命令提示字元中輸入下面這一行可以達到此目的:
    secedit /refreshpolicy machine_policy / 強制
    在 [事件檢視器] 中檢查應用程式記錄檔以事件編號 1704 」,以確認成功的原則傳播。如需有關重新整理群組原則的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
    227448若要強制群組原則,以重新套用使用 Secedit.exe

屬性

文章編號: 267553 - 上次校閱: 2007年3月1日 - 版次: 4.5
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbmt kbgpo kbhowto KB267553 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:267553
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com