Сброс прав пользователя в групповой политике домена по умолчанию в Windows Server

В этой статье описывается, как сбросить права пользователя в домене по умолчанию групповая политика объекта (GPO) в Windows Server.

Применимо к: Поддерживаемые версии Windows Server
Оригинальный номер базы знаний: 324800

Сводка

Объект групповой политики домена по умолчанию содержит множество параметров прав пользователя по умолчанию. Иногда при изменении параметров по умолчанию могут быть наложены непредвиденные ограничения на права пользователя. Если изменения являются непредвиденными или изменения не были записаны, поэтому вы не знаете, какие изменения были внесены, может потребоваться сбросить параметры прав пользователя до значений по умолчанию.

Сброс прав пользователя для объекта групповой политики домена по умолчанию

Чтобы восстановить права пользователя для использования параметров по умолчанию для объекта групповой политики домена по умолчанию, следуйте процедурам, описанным в этом разделе, в том порядке, в котором они представлены.

Изменение файла Gpttmpl.inf

Чтобы изменить файл Gpttmpl.inf , выполните следующие действия.

1. Запустите Windows Обозреватель и откройте следующую папку, где <Sysvol_path> — это путь к папке Sysvol:

   <>Sysvol_path\Sysvol\<DomainName>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit

   Примечание.

   Путь по умолчанию к папке Sysvol — %SystemRoot%\Sysvol.

2. Щелкните правой кнопкой мыши Gpttmpl.inf и выберите открыть.

3. Чтобы полностью сбросить права пользователя к параметрам по умолчанию, замените существующие сведения в файле Gpttmpl.inf следующими сведениями о правах пользователя по умолчанию. Для этого вставьте следующий текст в соответствующий раздел текущего файла Gpttmpl.inf :

   [Unicode]
   Unicode=yes  
   [System Access]  
   MinimumPasswordAge = 1  
   MaximumPasswordAge = 42  
   MinimumPasswordLength = 7  
   PasswordComplexity = 1  
   PasswordHistorySize = 24  
   LockoutBadCount = 0  
   RequireLogonToChangePassword = 0  
   ForceLogoffWhenHourExpire = 0  
   ClearTextPassword = 0
   LSAAnonymousNameLookup = 0  
   [Kerberos Policy]  
   MaxTicketAge = 10  
   MaxRenewAge = 7  
   MaxServiceAge = 600  
   MaxClockSkew = 5  
   TicketValidateClient = 1
   [Registry Values]
   MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1  
   [Version]  
   signature="$CHICAGO$"  
   Revision=1
   

4. В меню Файл выберите Сохранить, а затем — Выйти.

Изменение файла Gpt.ini

Файл Gpt.ini управляет номерами версий шаблона объекта групповой политики. Чтобы увеличить номер версии шаблона объекта групповой политики, необходимо изменить файл Gpt.ini . Для этого:

1. Запустите Windows Обозреватель и откройте следующую папку, где <Sysvol_path> — это путь к папке Sysvol: <Sysvol_path>\Sysvol\Domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

   Примечание.

   Путь по умолчанию к папке Sysvol — %SystemRoot%\Sysvol.

2. Щелкните правой кнопкой мыши Gpt.iniи выберите открыть.

3. Увеличьте номер версии до числа, достаточного, чтобы гарантировать, что обычная репликация не превышает новый номер версии до сброса политики. Увеличьте число, добавив число "0" в конец номера версии или число "1" в начало номера версии.

4. В меню Файл выберите Сохранить, а затем — Выйти.

Обновление групповая политика с помощью GPUpdate

Примените новый объект групповой политики с помощью средства GPUpdate, чтобы вручную повторно применить все параметры политики. Для этого:

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. В поле Открыть введите cmd и нажмите кнопку ОК.
3. В командной строке введите GPUpdate /Force и нажмите клавишу ВВОД.
4. Введите exit и нажмите клавишу ВВОД , чтобы выйти из командной строки.

Используйте Просмотр событий, чтобы убедиться, что объект групповой политики успешно применен. Для этого:

1. Нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем выберите Просмотр событий.
2. Выберите Приложение.

Найдите событие с идентификатором 1704, чтобы убедиться, что объект групповой политики успешно применен.