Reimpostazione dei diritti utente nell'oggetto Criteri di gruppo Controller di dominio predefiniti

Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sommario
L'oggetto Criteri di gruppo Controller di dominio predefiniti contiene molte impostazioni predefinite relative ai diritti utente. In alcuni casi la modifica delle impostazioni predefinite può avere effetti indesiderati. È ad esempio possibile che vengano imposte restrizioni impreviste sui diritti utente. Se le modifiche sono impreviste o non sono state registrate e di conseguenza non si conoscono le modifiche apportate, potrebbe essere necessario reimpostare i valori predefiniti delle impostazioni relative ai diritti utente.

Questa situazione può inoltre verificarsi se il contenuto della cartella Sysvol è stato rigenerato manualmente oppure ripristinato dal backup utilizzando le procedure descritte nel seguente articolo della Microsoft Knowledge Base:
253268 Visualizzazione del messaggio di errore relativo ai Criteri di gruppo quando il contenuto appropriato della cartella Sysvol risulta mancante


Potrebbe inoltre essere necessario reimpostare i valori predefiniti delle impostazioni relative ai diritti utente SeInteractiveLogonRight e SeDenyInteractiveLogonRight se viene visualizzato un messaggio di errore analogo al seguente quando si tenta di accedere alla console del controller di dominio:
Il criterio locale del sistema non permette l'accesso interattivo.
Informazioni
La reimpostazione delle assegnazioni dei diritti utente per l'oggetto Criteri di gruppo prevede tre passaggi:
  1. Modifica del file Gpttmpl.inf
  2. Incremento della versione dei criteri di gruppo (modifica apportata nel file Gpt.ini)
  3. Applicazione dei nuovi criteri di gruppo
NOTA: l'esecuzione di questa procedura richiede particolare cautela. Se non si configura correttamente il modello dell'oggetto Criteri di gruppo, i controller di dominio potrebbero risultare inutilizzabili.
  1. Modifica del file Gpttmpl.inf. Per reimpostare i valori predefiniti delle impostazioni relative ai diritti utente, è possibile modificare il file GptTmpl.inf. Tale file è reperibile nella cartella dei criteri di gruppo nella cartella Sysvol:
    percorso sysvol\sysvol\nome dominio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\COMPUTER\Microsoft\Windows NT\SecEdit
    NOTA: il percorso predefinito della cartella Sysvol è %SystemRoot%\Sysvol.

    Per reimpostare completamente i valori predefiniti delle impostazioni relative ai diritti utente, sostituire le informazioni esistenti nel file Gpttmpl.inf con le seguenti informazioni sui diritti utente predefiniti. È possibile copiare e incollare la sezione appropriata riportata di seguito nel file GptTmpl.inf esistente.

    Si notino le impostazioni relative alle autorizzazioni per ciascun modello. È necessario utilizzare il modello corretto per l'installazione in uso sulla base delle impostazioni desiderate relative ai diritti utente.

    NOTA: si consiglia vivamente di eseguire il backup del file GptTmpl.inf prima di apportare queste modifiche.

    Autorizzazioni compatibili con gli utenti di versioni del sistema operativo precedenti a Windows 2000

       [Unicode]   Unicode=yes   [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    NOTA: se è installato Internet Information Services, è necessario aggiungere i seguenti account utente a quelli già elencati per questi diritti:
       SeBatchLogonRight = IWAM_%nomeserver%,IUSR_%nomeserver%   SeInteractiveLogonRight = IUSR_%nomeserver%   SeNetworkLogonRight = IWAM_%nomeserver%,IUSR_%nomeserver%					
    dove la variabile %nomeserver% corrisponde a un segnaposto che deve essere modificato in base alle impostazioni del computer.

    Esempio:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
    NOTA: se è installato Servizi terminal, è necessario aggiungere il seguente account utente a quelli già elencati per questo diritto:
       SeInteractiveLogonRight = TsInternetUser					
    Esempio:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
    Oppure
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

    Autorizzazioni compatibili solo con gli utenti di Windows 2000

       [Unicode]   Unicode=yes   [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    NOTA: se è installato Internet Information Services, è necessario aggiungere i seguenti diritti utente. La variabile nomeserver è un segnaposto che deve essere modificato in base alle impostazioni del computer:
       SeBatchLogonRight = IWAM_nomeserver,IUSR_nomeserver   SeInteractiveLogonRight = IUSR_nomeserver   SeNetworkLogonRight = IUSR_nomeserver					
    Salvare e chiudere il nuovo file GptTmpl.inf.


  2. Incremento della versione dei criteri di gruppo. È necessario incrementare la versione dei criteri di gruppo per garantire che le modifiche apportate vengano mantenute. Il file Gpt.ini controlla i numeri di versione del modello Criteri di gruppo.
    1. Aprire il file Gpt.ini dal seguente percorso:
      percorso sysvol\sysvol\nome dominio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Incrementare il numero di versione specificando un valore sufficiente a garantire che durante una normale replica il nuovo numero di versione non divenga obsoleto prima della reimpostazione dei criteri. È preferibile incrementare il numero aggiungendo il numero "0" alla fine del numero di versione oppure il numero "1" all'inizio del numero di versione.
    3. Salvare e chiudere il file Gpt.ini.
  3. Applicazione dei nuovi criteri di gruppo. Utilizzare Secedit per aggiornare manualmente i criteri di gruppo. A tale scopo, digitare quanto segue al prompt dei comandi:
    secedit /refreshpolicy criterio_computer /enforce
    In Visualizzatore eventi verificare la presenza del numero evento "1704" nel registro applicazioni per confermare la corretta propagazione dei criteri. Per ulteriori informazioni sull'aggiornamento dei criteri di gruppo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    227448 Utilizzo di Secedit.exe per imporre nuovamente l'applicazione dei criteri di gruppo
Proprietà

ID articolo: 267553 - Ultima revisione: 12/05/2015 20:55:03 - Revisione: 4.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbgpo kbhowto KB267553
Feedback