Jak obnovit práva uživatele v objektu Default Domain Controllers Group Policy

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:267553
Poznámka
Tento článek se týká systému Windows 2000. Podporu pro systém Windows 2000 končí na 13. července 2010.Windows 2000 End-of-Support Solution Center je výchozí bod pro plánování strategie přenesení ze systému Windows 2000. Další informace v tématu Microsoft Support Lifecycle Policy.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Souhrn
Default Domain Controllers Group Policy (objekt) obsahuje mnoho nastavení výchozí uživatelská práva. V některých případech změny výchozího nastavení může způsobit nežádoucí efekty. Výsledkem může být podmínku na uživatelská práva existovat neočekávané omezení. Pokud neočekávané změny nebo Pokud změny nebyly zaznamenány, takže Neznámý jaké změny byly provedeny, může být nezbytné obnovit jejich výchozí hodnoty těchto nastavení uživatelská práva.

Této situaci může také způsobit Pokud obsah složky SYSVOL byly ručně znovu vytvořit nebo obnovit ze zálohy pomocí postupů v následujícím článku databáze Microsoft Knowledge Base:
253268Zásady skupiny chybová zpráva chybí odpovídající SYSVOL obsah
Může být také nutné obnovit nastavení SeInteractiveLogonRight a SeDenyInteractiveLogonRight uživatelská práva na výchozí hodnoty, pokud při pokusu o přihlášení ke konzole řadiče domény se zobrazí následující chybová zpráva:
Místní zásady tohoto systému neumožňují interaktivní přihlašování
Další informace
Existují tři kroky potřebné k obnovení přiřazení uživatelských práv GPO:
 1. Přihlaste se k obnovení adresářové služby.
 2. Upravte soubor GptTmpl.inf.
 3. Zvýšit verze zásad skupiny (Tato změna je provedena v Gpt.ini).
 4. Použít nové zásady skupiny.
Poznámka: Buďte opatrní při provádění těchto kroků. Konfigurace šablony GPO nesprávně byste pravděpodobně nefunkčnost řadiče domény.
 1. Upravte soubor GptTmpl.inf. Nastavení uživatelských práv může obnovit výchozí hodnoty úpravou souboru GptTmpl.inf. Tento soubor je umístěn ve složce Zásady skupiny pod složky SYSVOL:
  sysvol path\sysvol\ domain name \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\ MACHINE \Microsoft\Windows NT\SecEdit
  Poznámka: Výchozí cesta složky Sysvol je %SystemRoot%\Sysvol

  Nahradit existující informace v souboru GptTmpl.inf zcela obnovit výchozí nastavení uživatelských práv, následující informace výchozí uživatelská práva. Kopírovat a vložit příslušné části níže do existující soubor GptTmpl.inf.

  Poznámka: nastavení oprávnění pro každou šablonu. Správnou šablonu použijte pro instalaci založené na nastavení požadované uživatelská práva.

  Poznámka: Společnost Microsoft důrazně doporučuje zálohování souboru GptTmpl.inf před provedením těchto změn.

  Oprávnění kompatibilní s uživatelé Pre-Windows 2000

    [Unicode]  Unicode=yes  [Event Audit]  AuditSystemEvents = 0  AuditLogonEvents = 0  AuditObjectAccess = 0  AuditPrivilegeUse = 0  AuditPolicyChange = 0  AuditAccountManage = 0  AuditProcessTracking = 0  AuditDSAccess = 0  AuditAccountLogon = 0  [Privilege Rights]  SeAssignPrimaryTokenPrivilege =  SeAuditPrivilege =  SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544  SeBatchLogonRight =  SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0  SeCreatePagefilePrivilege = *S-1-5-32-544  SeCreatePermanentPrivilege =  SeCreateTokenPrivilege =  SeDebugPrivilege = *S-1-5-32-544  SeIncreaseBasePriorityPrivilege = *S-1-5-32-544  SeIncreaseQuotaPrivilege = *S-1-5-32-544  SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544  SeLoadDriverPrivilege = *S-1-5-32-544  SeLockMemoryPrivilege =  SeMachineAccountPrivilege = *S-1-5-11   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0  SeProfileSingleProcessPrivilege = *S-1-5-32-544  SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544  SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544  SeSecurityPrivilege = *S-1-5-32-544  SeServiceLogonRight =  SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544  SeSystemEnvironmentPrivilege = *S-1-5-32-544  SeSystemProfilePrivilege = *S-1-5-32-544  SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544  SeTakeOwnershipPrivilege = *S-1-5-32-544  SeTcbPrivilege =  SeDenyInteractiveLogonRight =  SeDenyBatchLogonRight =  SeDenyServiceLogonRight =  SeDenyNetworkLogonRight =  SeUndockPrivilege = *S-1-5-32-544  SeSyncAgentPrivilege =  SeEnableDelegationPrivilege = *S-1-5-32-544  [Version]  signature="$CHICAGO$"  Revision=1  [Registry Values]  MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
  Poznámka: Pokud je nainstalována Internetová informační služba následující uživatelské účty musí připojit k uvedených již pro těchto práv:
    SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%  SeInteractiveLogonRight = IUSR_%servername%  SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%					
  kde proměnnou % servername % je zástupný symbol a měli upravit jej tak, aby odpovídaly nastavení počítače.

  Příklad by vypadat například takto:
  SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
  nainstalována Poznámka Pokud Terminálová služba, následující uživatelský účet musí připojit k uvedených již pro toto právo:
    SeInteractiveLogonRight = TsInternetUser					
  příklad by vypadat například takto:
  SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
  - nebo tento-
  SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

  Oprávnění kompatibilní pouze s uživatelé systému Windows 2000

    [Unicode]  Unicode=yes  [Event Audit]  AuditSystemEvents = 0  AuditLogonEvents = 0  AuditObjectAccess = 0  AuditPrivilegeUse = 0  AuditPolicyChange = 0  AuditAccountManage = 0  AuditProcessTracking = 0  AuditDSAccess = 0   AuditAccountLogon = 0  [Privilege Rights]  SeAssignPrimaryTokenPrivilege =  SeAuditPrivilege =  SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544  SeBatchLogonRight =  SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0  SeCreatePagefilePrivilege = *S-1-5-32-544  SeCreatePermanentPrivilege =  SeCreateTokenPrivilege =  SeDebugPrivilege = *S-1-5-32-544  SeIncreaseBasePriorityPrivilege = *S-1-5-32-544  SeIncreaseQuotaPrivilege = *S-1-5-32-544  SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544  SeLoadDriverPrivilege = *S-1-5-32-544  SeLockMemoryPrivilege =  SeMachineAccountPrivilege = *S-1-5-11  SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0  SeProfileSingleProcessPrivilege = *S-1-5-32-544  SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544  SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544  SeSecurityPrivilege = *S-1-5-32-544  SeServiceLogonRight =  SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544  SeSystemEnvironmentPrivilege = *S-1-5-32-544  SeSystemProfilePrivilege = *S-1-5-32-544  SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544  SeTakeOwnershipPrivilege = *S-1-5-32-544  SeTcbPrivilege =  SeDenyInteractiveLogonRight =  SeDenyBatchLogonRight =  SeDenyServiceLogonRight =  SeDenyNetworkLogonRight =  SeUndockPrivilege = *S-1-5-32-544  SeSyncAgentPrivilege =  SeEnableDelegationPrivilege = *S-1-5-32-544  [Version]  signature="$CHICAGO$"  Revision=1  [Registry Values]  MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
  Poznámka: Pokud je nainstalována Internetová informační služba máte přidat následující uživatelská práva. Proměnná název_serveru je zástupný symbol a měli upravit jej tak, aby odpovídaly nastavení počítače:
    SeBatchLogonRight = IWAM_servername,IUSR_servername  SeInteractiveLogonRight = IUSR_servername  SeNetworkLogonRight = IUSR_servername					
  uložit a zavřít nový soubor GptTmpl.inf.


 2. Přírůstek verze zásady skupiny. Verze zásady skupiny Chcete-li zajistit, aby změny zachovány zásad nutné zvětšit. Soubor Gpt.ini řídí čísla verze Zásady skupiny šablony.
  1. Otevření souboru Gpt.ini z následujícího umístění:
   název domény \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9 \sysvol\ SYSVOL cesta}
  2. Zvýší číslo verze číslo velké zaručit, že normální replikace není provést číslo nové verze, stanou zastaralými před obnovit zásady. Je vhodnější zvýšit číslo přidáním buď číslo hodnotu 0, konec číslo verze nebo číslo "1" na začátek čísla verze.
  3. Uložte a zavřete soubor Gpt.ini.
 3. Použít nové zásady skupiny. Použít Secedit ručně aktualizovat zásady skupiny. To lze provést zadáním následující řádek na příkazovém řádku:
  secedit/refreshpolicy machine_policy / enforce
  V prohlížeči událostí zkontrolujte protokol aplikace pro číslo události "1704" ověřit šíření zásad úspěšné. Další informace o aktualizaci zásady skupiny klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
  227448Vynucení opětovného použití zásad skupin pomocí nástroje Secedit.exe (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 267553 - Poslední kontrola: 12/05/2015 20:54:58 - Revize: 4.5

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

 • kbnosurvey kbarchive kbmt kbgpo kbhowto KB267553 KbMtcs
Váš názor