Параметр групповая политика недоступен в списке параметров политики безопасности.

  • Статья

В этой статье описывается проблема, из-за которой параметр "Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов" групповая политика недоступен в списке параметров политики безопасности.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 947721

Симптомы

При попытке получить доступ к параметру "Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов" групповая политика на компьютере под управлением Windows Vista или более поздней версии, этот параметр недоступен в списке параметров политики безопасности.

Если параметр присутствует в групповой политике безопасности, он будет игнорироваться Windows Vista и новыми членами домена.

Причина

Windows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2 больше не поддерживают этот параметр. Если этот параметр включен, контроль учетных записей (UAC) обеспечит использование учетной записи пользователя в качестве владельца для всех объектов, созданных локально. Для удаленного доступа будет использоваться группа администраторов. Для сетевых сеансов не существует ограниченного маркера.

Так как поддержка параметра была удалена, параметр политики безопасности системы "Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов", больше недоступен в пользовательском интерфейсе шаблонов безопасности.

Разрешение

Вы можете добавить параметр "Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов", групповая политика в пользовательский интерфейс шаблонов безопасности.

Подсказка. Эта процедура не приведет к тому, что Windows Vista и более новые версии соблюдают этот параметр так же, как Windows XP и Windows Server 2003.

Чтобы создать этот параметр групповая политика для некоторых компьютеров под управлением Windows XP или Windows Server 2003, выполните следующие действия на компьютере под управлением Windows Server 2008:

  1. Войдите в систему с правами локального администратора, чтобы настроить параметр групповая политика.

  2. Создайте резервную копию файла c:\windows\inf\Sceregvl.inf.

  3. Возьмите на себя ответственность за этот файл и предоставьте группе администраторов полный доступ пользователей. Для этого выполните следующие действия:

    Примечание.

    Этот файл принадлежит группе TrustedInstaller. Таким образом, администраторы имеют только права доступа только для чтения.

    1. Щелкните правой кнопкой мыши файл c:\windows\inf\Sceregvl.inf и выберите пункт Свойства.
    2. Щелкните вкладку Безопасность.
    3. Нажмите кнопку Дополнительно.
    4. Перейдите на вкладку Владелец .
    5. Щелкните Изменить.
    6. В разделе Изменение владельца на щелкните группу Администраторы и нажмите кнопку ОК.
    7. Нажмите кнопку ОК три раза.

  4. Чтобы предоставить группе администраторов полный доступ к файлу, выполните следующие действия.

    Примечание.

    После предоставления группе администраторов полных прав доступа можно изменять и сохранять изменения в файле.

    1. Щелкните правой кнопкой мыши файл c:\windows\inf\Sceregvl.inf и выберите пункт Свойства.
    2. Щелкните вкладку Безопасность.
    3. Щелкните Изменить.
    4. В разделе Группа или Имена пользователей щелкните группу Администраторы .
    5. В разделе Разрешения для администраторов установите флажок Разрешить проверка для параметра Полный доступ, а затем нажмите кнопку ОК.
    6. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства Sceregvl.inf .

  5. Откройте и измените файл c:\windows\inf\Sceregvl.inf с помощью Блокнота.

  6. Скопируйте следующий текст, который должен быть в одной строке:

    MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nodefaultadminowner,3,"Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов",3,0|Группа администраторов1|Создатель объекта

  7. Вставьте текст сразу после следующей строки в файл:(MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy,4,%SCENoAp plyLegacyAuditPolicy%,0)

  8. Сохраните изменения в файле, а затем закройте Блокнот.

  9. Сбросьте права владения файлом и разрешения для файла c:\windows\inf\Sceregvl.inf до параметров по умолчанию. Для этого выполните следующие действия:

    1. Щелкните правой кнопкой мыши файл c:\windows\inf\Sceregvl.inf и выберите пункт Свойства.
    2. Щелкните вкладку Безопасность.
    3. Нажмите кнопку Дополнительно.
    4. Перейдите на вкладку Владелец .
    5. Щелкните Изменить.
    6. Щелкните Другие пользователи или группы.
    7. Щелкните Расположения.
    8. В разделе Расположения выберите имя локального компьютера и нажмите кнопку ОК.
    9. В окне Выбор пользователей или группы введите NT SERVICE\TrustedInstaller в разделе Введите имя выбранного объекта, а затем нажмите кнопку ОК.
    10. В окне Дополнительные параметры безопасности для Sceregvl.inf щелкните учетную запись TrustedInstaller в разделе Изменение владельца на и нажмите кнопку ОК.
    11. Нажмите кнопку ОК три раза.

  10. Сбросьте разрешения на доступ к группе Администраторы для файла c:\windows\inf\Sceregvl.inf на только чтение & выполнения и чтения. Для этого выполните следующие действия:

    1. Щелкните правой кнопкой мыши файл c:\windows\inf\Sceregvl.inf и выберите пункт Свойства.
    2. Щелкните вкладку Безопасность.
    3. Щелкните Изменить.
    4. В разделе Группа или Имена пользователей щелкните группу Администраторы .
    5. В разделе Разрешения для администраторов щелкните, чтобы очистить все поля проверка, кроме полей Чтение & выполнить проверка и Чтение проверка, а затем нажмите кнопку ОК.
    6. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства Sceregvl.inf .

  11. Повторно зарегистрируйте расширение на стороне клиента для файла групповая политика Scecli.dll. Для этого откройте командную строку с повышенными привилегиями, введите следующую команду и нажмите клавишу ВВОД:REGSVR32 scecli.dll нажмите кнопку ОК.

  12. Чтобы применить параметр "Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов", групповая политика в параметрах локальной политики безопасности, выполните следующие действия.

Примечание.

Если компьютер является контроллером домена, используйте оснастку "Политика безопасности контроллера домена".

  1. Нажмите кнопку Пуск, панель управления, Администрирование, а затем — Локальная политика безопасности.
  2. Перейдите в расположение Параметры безопасности\Локальные политики\Параметры безопасности.
  3. В правой области окна щелкните правой кнопкой мыши параметр "Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов", групповая политика и выберите пункт Свойства.
  4. В раскрывающемся списке щелкните Создатель объектов, а затем нажмите кнопку ОК.
  5. В окне сообщения Безопасность Windows может появилось предупреждение. Прочтите предупреждение и нажмите кнопку Да.