Zurücksetzen von Benutzerrechten im Gruppenrichtlinienobjekt der Standarddomänencontroller

Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
267553 How to Reset User Rights in the Default Domain Controllers Group Policy Object
Zusammenfassung
Das Gruppenrichtlinienobjekt für Standarddomänencontroller enthält viele Standardeinstellungen für Benutzerrechte. In manchen Fällen kann das Ändern der Standardeinstellungen unerwünschte Effekte haben. Das kann unerwartete Einschränkungen für die Benutzerrechte zur Folge haben. Wenn die Änderungen unerwartet sind oder nicht dokumentiert wurden, sodass nicht bekannt ist, welche Änderungen vorgenommen wurden, kann es erforderlich sein, diese Einstellungen für Benutzerrechte auf den Standard zurückzusetzen.

Diese Situation kann auch dann auftreten, wenn der Inhalt des Ordners "Sysvol" manuell neu erstellt wurde oder anhand der im folgenden Artikel der Microsoft Knowledge Base beschriebenen Prozeduren aus einer Sicherung wiederhergestellt wurde:
253268 Gruppenrichtlinien-Fehlermeldung, wenn entsprechende Sysvol-Inhalte fehlen


Es ist also möglicherweise erforderlich, die Einstellungen der Benutzerrechte SeInteractiveLogonRight und SeDenyInteractiveLogonRight auf ihren Standard zurückzusetzen, wenn Sie beim Versuch, sich an die Konsole des Domänencontrollers anzumelden, folgende Fehlermeldung erhalten:
Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.
Weitere Informationen
Drei Schritte müssen durchgeführt werden, um die Zuweisung der Benutzerrechte für das Gruppenrichtlinienobjekt zurückzusetzen:
  1. Bearbeiten Sie die Datei "GptTmpl.inf".
  2. Erhöhen Sie die Version der Gruppenrichtlinie (diese Änderung wird in der Datei "Gpt.ini" durchgeführt).
  3. Wenden Sie die neue Gruppenrichtlinie an.
Hinweis: Bei der Durchführung dieser Schritte ist Vorsicht geboten. Eine falsche Konfiguration der Vorlage für das Gruppenrichtlinienobjekt kann dazu führen, dass Ihre Domänencontroller nicht mehr funktionsfähig sind.
  1. Bearbeiten Sie die Datei "GptTmpl.inf". Die Einstellungen für die Benutzerrechte können durch Änderung der Datei "GptTmpl.inf" auf ihren Standard zurückgesetzt werden. Diese Datei befindet sich im Gruppenrichtlinienordner unter dem Ordner "Sysvol":
    sysvol-Pfad\sysvol\Domänenname\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\COMPUTER\Microsoft\Windows NT\SecEdit
    Hinweis: Der Standardpfad für den Ordner "Sysvol" lautet "%SystemRoot%\Sysvol".

    Wenn Sie die Benutzerrechte komplett auf die Standardeinstellungen zurücksetzen möchten, ersetzen Sie die vorhandenen Informationen in der Datei "GptTmpl.inf" durch die folgenden Standardeinstellungen für die Benutzerrechte. Sie können den jeweiligen Abschnitt unten kopieren und dann in Ihre vorhandene Datei "GptTmpl.inf" einfügen.

    Bitte beachten Sie die Berechtigungseinstellungen für die einzelnen Vorlagen. Verwenden Sie auf Basis der gewünschten Einstellungen für die Benutzerrechte die richtige Vorlage.

    Hinweis: Microsoft empfiehlt dringend, die Datei "GptTmpl.inf" zu sichern, bevor Sie diese Änderungen durchführen.

    Berechtigungskompatibel mit Benutzern vor Windows 2000

       [Unicode]   Unicode=yes   [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Hinweis: Wenn die Internetinformationsdienste installiert sind, müssen Sie für diese Benutzerrechte die folgenden Benutzerkonten an die bereits aufgeführten Konten anhängen:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%   SeInteractiveLogonRight = IUSR_%servername%   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%					
    Die Variable "%servername%" müssen Sie durch eine Angabe ersetzen, die Ihren Computereinstellungen entspricht.

    Beispiel:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
    Hinweis: Wenn die Terminaldienste installiert sind, müssen Sie für dieses Benutzerrecht das folgende Benutzerkonto an die bereits aufgeführten Konten anhängen:
       SeInteractiveLogonRight = TsInternetUser					
    Beispiel:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
    -or this-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

    Berechtigungskompatibel nur mit Windows 2000-Benutzern

       [Unicode]   Unicode=yes    [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0     AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Hinweis: Wenn die Internetinformationsdienste installiert sind, müssen Sie die folgenden Benutzerrechte hinzufügen. Den Platzhalter servername müssen Sie durch eine Angabe ersetzen, die Ihren Computereinstellungen entspricht:
       SeBatchLogonRight = IWAM_servername,IUSR_servername   SeInteractiveLogonRight = IUSR_servername   SeNetworkLogonRight = IUSR_servername					
    Sichern Sie die neue Datei "GptTmpl.inf", und schließen Sie sie.


  2. Erhöhen Sie die Version der Gruppenrichtlinie. Sie müssen die Version der Gruppenrichtlinie erhöhen, um sicherzustellen, dass die Richtlinienänderungen erhalten bleiben. Die Datei "Gpt.ini" steuert die Versionsnummern der Gruppenrichtlinienvorlage.
    1. Öffnen Sie die Datei "Gpt.ini" aus dem folgenden Pfad:
      sysvol-Pfad\sysvol\Domänenname\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Erhöhen Sie die Nummer der Version auf einen Wert, der hoch genug ist, um zu gewährleisten, dass die Version nicht durch die normale Replikation veraltet, bevor die Gruppenrichtlinie zurückgesetzt werden kann. Wenn Sie die Nummer erhöhen, sollten Sie die Zahl "0" am Ende der Versionsnummer oder die Zahl " am Anfang der Versionsnummer hinzufügen.
    3. Speichern und schließen Sie die Datei "Gpt.ini".
  3. Wenden Sie die neue Gruppenrichtlinie an. Verwenden Sie "Secedit", um die Gruppenrichtlinie manuell zu aktualisieren. Geben Sie dazu die folgende Zeile in einer Eingabeaufforderung an:
    secedit /refreshpolicy machine_policy /enforce
    Überprüfen Sie in der Ereignisanzeige das Anwendungsprotokoll auf die Ereignisnummer "1704", um sich zu vergewissern, dass die Richtlinie erfolgreich propagiert wurde. Weitere Informationen über die Aktualisierung der Gruppenrichtlinie finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    227448 "Secedit.exe": Erneut Anwendung von Gruppenrichtlinie veranlassen
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 267553 – Letzte Überarbeitung: 12/05/2015 20:54:59 – Revision: 4.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbgpo kbhowto KB267553
Feedback