Ustawienie zasady grupy nie jest dostępne na liście ustawień zasad zabezpieczeń

  • Artykuł

W tym artykule opisano problem polegający na tym, że ustawienie "Obiekty systemowe: domyślny właściciel obiektów utworzonych przez członków grupy Administratorzy" zasady grupy nie jest dostępne na liście ustawień zasad zabezpieczeń.

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 947721

Symptomy

Podczas próby uzyskania dostępu do ustawienia "Obiekty systemowe: domyślny właściciel obiektów utworzonych przez członków grupy Administratorzy" zasady grupy na komputerze z systemem Windows Vista lub nowszym to ustawienie nie jest dostępne na liście ustawień zasad zabezpieczeń.

Gdy ustawienie jest obecne w zasadach grupy zabezpieczeń, zostanie ono zignorowane przez system Windows Vista i nowsze elementy członkowskie domeny.

Przyczyna

System Windows Vista, Windows 7, Windows Server 2008 i Windows Server 2008 R2 nie obsługują już tego ustawienia. Po włączeniu kontrola konta użytkownika (UAC) zapewni, że konto użytkownika jest używane jako właściciel dla wszystkich obiektów utworzonych lokalnie. W przypadku dostępu zdalnego grupa administratorów będzie używać nie ma ograniczonego tokenu dla sesji sieciowych.

Ponieważ obsługa tego ustawienia została usunięta, zasady zabezpieczeń systemu "Obiekty systemowe: domyślny właściciel obiektów utworzonych przez członków grupy Administratorzy" nie są już dostępne w interfejsie użytkownika szablonów zabezpieczeń.

Rozwiązanie

Możesz dodać ustawienie "Obiekty systemowe: domyślny właściciel obiektów utworzonych przez członków grupy Administratorzy" zasady grupy do interfejsu użytkownika Szablony zabezpieczeń.

Wskazówka: Ta procedura NIE sprawi, że system Windows Vista i nowsze będą honorować to ustawienie, tak jak robią to systemy Windows XP i Windows Server 2003.

Aby móc utworzyć to ustawienie zasady grupy dla niektórych komputerów z systemem Windows XP lub Windows Server 2003, wykonaj następujące kroki na komputerze z systemem Windows Server 2008:

  1. Zaloguj się jako administrator lokalny, aby skonfigurować ustawienie zasady grupy.

  2. Utwórz kopię zapasową pliku c:\windows\inf\Sceregvl.inf.

  3. Przejmij na własność ten plik i przyznaj grupie Administratorzy pełne prawa użytkownika. Aby to zrobić, wykonaj następujące kroki.

    Uwaga

    Ten plik jest własnością grupy TrustedInstaller. W związku z tym administratorzy mają tylko prawa dostępu tylko do odczytu.

    1. Kliknij prawym przyciskiem myszy plik c:\windows\inf\Sceregvl.inf, a następnie kliknij pozycję Właściwości.
    2. Kliknij kartę Zabezpieczenia.
    3. Kliknij przycisk Zaawansowane.
    4. Kliknij kartę Właściciel .
    5. Kliknij pozycję Edytuj.
    6. W obszarze Zmień właściciela na kliknij grupę Administratorzy , a następnie kliknij przycisk OK.
    7. Kliknij trzy razy przycisk OK.

  4. Aby nadać grupie Administratorzy pełne prawa dostępu użytkownika do pliku, wykonaj następujące kroki.

    Uwaga

    Po przyznaniu grupie Administratorzy pełnego dostępu praw użytkownika można edytować i zapisywać zmiany w pliku.

    1. Kliknij prawym przyciskiem myszy plik c:\windows\inf\Sceregvl.inf, a następnie kliknij pozycję Właściwości.
    2. Kliknij kartę Zabezpieczenia.
    3. Kliknij pozycję Edytuj.
    4. W obszarze Nazwy grup lub użytkowników kliknij grupę Administratorzy .
    5. W obszarze Uprawnienia dla administratorów kliknij, aby zaznaczyć pole wyboru Zezwalaj na pełną kontrolę, a następnie kliknij przycisk OK.
    6. Kliknij przycisk OK , aby zamknąć okno dialogowe Właściwości Sceregvl.inf .

  5. Otwórz i edytuj plik c:\windows\inf\Sceregvl.inf przy użyciu Notatnika.

  6. Skopiuj następujący tekst, który powinien znajdować się w jednym wierszu:

    MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nodefaultadminowner,3,"Obiekty systemowe: domyślny właściciel obiektów utworzonych przez członków grupy Administratorzy",3,0|Grupa administratorzy,1|Twórca obiektu

  7. Wklej tekst tuż po następującym wierszu w pliku:(MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy,4,%SCENoAp plyLegacyAuditPolicy%,0)

  8. Zapisz zmiany w pliku, a następnie zamknij Notatnik.

  9. Zresetuj własność pliku i uprawnienia dla pliku c:\windows\inf\Sceregvl.inf z powrotem do ustawień domyślnych. Aby to zrobić, wykonaj następujące kroki.

    1. Kliknij prawym przyciskiem myszy plik c:\windows\inf\Sceregvl.inf, a następnie kliknij pozycję Właściwości.
    2. Kliknij kartę Zabezpieczenia.
    3. Kliknij przycisk Zaawansowane.
    4. Kliknij kartę Właściciel .
    5. Kliknij pozycję Edytuj.
    6. Kliknij pozycję Inni użytkownicy lub grupy.
    7. Kliknij pozycję Lokalizacje.
    8. W obszarze Lokalizacje kliknij nazwę komputera lokalnego, a następnie kliknij przycisk OK.
    9. W oknie Wybieranie użytkowników lub grupy wpisz NT SERVICE\TrustedInstaller w obszarze Wprowadź nazwę obiektu do wybrania, a następnie kliknij przycisk OK.
    10. W oknie Zaawansowane ustawienia zabezpieczeń dla pliku Sceregvl.inf kliknij konto TrustedInstaller w obszarze Zmień właściciela na, a następnie kliknij przycisk OK.
    11. Kliknij trzy razy przycisk OK.

  10. Zresetuj uprawnienia dostępu do grupy Administratorzy dla pliku c:\windows\inf\Sceregvl.inf z powrotem do tylko odczytu & wykonywania i odczytu. Aby to zrobić, wykonaj następujące kroki.

    1. Kliknij prawym przyciskiem myszy plik c:\windows\inf\Sceregvl.inf, a następnie kliknij pozycję Właściwości.
    2. Kliknij kartę Zabezpieczenia.
    3. Kliknij pozycję Edytuj.
    4. W obszarze Nazwy grup lub użytkowników kliknij grupę Administratorzy .
    5. W obszarze Uprawnienia dla administratorów kliknij, aby wyczyścić wszystkie pola wyboru z wyjątkiem pola wyboru Odczyt & wykonywania oraz pole wyboru Odczyt , a następnie kliknij przycisk OK.
    6. Kliknij przycisk OK , aby zamknąć okno dialogowe Właściwości Sceregvl.inf .

  11. Ponownie wyrejestruj rozszerzenie po stronie klienta dla pliku zasady grupy Scecli.dll. W tym celu otwórz wiersz polecenia z podwyższonym poziomem uprawnień, wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:REGSVR32 scecli.dll Kliknij przycisk OK.

  12. Aby zastosować ustawienie "Obiekty systemowe: domyślny właściciel obiektów utworzonych przez członków grupy Administratorzy" zasady grupy w ustawieniach zasad zabezpieczeń lokalnych, wykonaj następujące kroki.

Uwaga

Jeśli komputer jest kontrolerem domeny, użyj przystawki "Zasady zabezpieczeń kontrolera domeny".

  1. Kliknij przycisk Start, kliknij pozycję Panel sterowania, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.
  2. Przejdź do lokalizacji Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń.
  3. W okienku po prawej stronie okna kliknij prawym przyciskiem myszy ustawienie "Obiekty systemowe: domyślny właściciel obiektów utworzonych przez członków grupy Administratorzy zasady grupy", a następnie kliknij pozycję Właściwości.
  4. W polu listy rozwijanej kliknij pozycję Twórca obiektu, a następnie kliknij przycisk OK.
  5. W polu komunikatu Zabezpieczenia Windows może zostać wyświetlone ostrzeżenie. Przeczytaj ostrzeżenie, a następnie kliknij przycisk Tak.