Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

Jak resetować prawa użytkownika w obiekcie zasad grupy Domyślne kontrolery domeny

Streszczenie
Obiekt zasad grupy Domyślne kontrolery domeny zawiera wiele domyślnych ustawień praw użytkowników. W niektórych przypadkach zmiana ustawienia domyślnego może spowodować niepożądane skutki. Może to spowodować nałożenie nieoczekiwanych ograniczeń na prawa użytkowników. Jeśli zmiany są nieoczekiwane lub nie zostały zarejestrowane i nie wiadomo, jakie zmiany zostały wprowadzone, może być potrzebne zresetowanie ustawień praw użytkownika i przywrócenie wartości domyślnych.

Ta sytuacja może być również wynikiem ręcznego odtwarzania zawartości folderu Sysvol lub przywracania go z kopii zapasowej przy użyciu procedur opisanych w następującym artykule z bazy wiedzy Microsoft Knowledge Base.
253268 Group Policy Error Message When Appropriate Sysvol Contents Are Missing
Zresetowanie ustawień praw użytkowników SeInteractiveLogonRight i SeDenyInteractiveLogonRight oraz przywrócenie ich wartości domyślnych może być również wymagane, jeśli podczas próby zalogowania się do konsoli kontrolera domeny jest wyświetlany następujący komunikat o błędzie:
Zasady lokalne tego systemu nie pozwalają na logowanie interakcyjne
Więcej informacji
Zresetowanie praw użytkowników przypisanych do obiektu zasad grupy wymaga wykonania trzech kroków:
  1. Zaloguj się do trybu przywracania usług katalogowych.
  2. Edytuj plik GptTmpl.inf.
  3. Zwiększ numer wersji zasad grupy (ta zmiana jest dokonywana w pliku Gpt.ini).
  4. Zastosuj nowe zasady grupy.
Uwaga: Wykonując te kroki, należy zachować ostrożność. Niepoprawna konfiguracja szablonu obiektu zasad grupy może uniemożliwić korzystanie z kontrolerów domeny.
  1. Edytuj plik GptTmpl.inf. Ustawienia praw użytkowników można zresetować i przywrócić ich ustawienia domyślne, edytując plik GptTmpl.inf. Plik ten znajduje się w podfolderze Group Policy folderu Sysvol:
    ścieżka_sysvol\sysvol\nazwa_domeny\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\KOMPUTER\Microsoft\Windows NT\SecEdit
    Uwaga: Domyślna ścieżka folderu Sysvol to %SystemRoot%\Sysvol.

    Aby całkowicie zresetować prawa użytkownika w celu przywrócenia domyślnych ustawień, zamień informację istniejącą w pliku GptTmpl.inf na następującą informację o domyślnych prawach użytkownika. Odpowiednią sekcję można skopiować, a następnie wkleić poniżej istniejącego pliku GptTmpl.inf.

    Należy zanotować ustawienia uprawnień dla poszczególnych szablonów. Należy użyć poprawnego szablonu dla danej instalacji w zależności od pożądanych ustawień praw użytkowników.

    Uwaga: Firma Microsoft zdecydowanie zaleca wykonanie kopii zapasowej pliku GptTmpl.inf przed dokonaniem tych zmian.

    Uprawnienia zgodne z użytkownikami systemów wcześniejszych niż Windows 2000

       [Unicode]   Unicode=yes   [Event Audit]   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Uwaga: Jeśli są zainstalowane Internetowe usługi informacyjne, następujące konta użytkownika muszą zostać dołączone do tych, które znajdują się już na liście otrzymujących te prawa:
       SeBatchLogonRight = IWAM_%nazwa_serwera%,IUSR_%nazwa_serwera%   SeInteractiveLogonRight = IUSR_%nazwa_serwera%   SeNetworkLogonRight = IWAM_%nazwa_serwera%,IUSR_%nazwa_serwera%					
    gdzie %nazwa_serwera% to symbol zastępczy, który należy zmodyfikować stosownie do ustawień komputera.

    Powinno to wyglądać na przykład tak:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
    Uwaga: Jeśli są zainstalowane usługi terminalowe, następujące konto użytkownika musi zostać dołączone do tych, które znajdują się już na liście otrzymujących te prawa:
       SeInteractiveLogonRight = TsInternetUser					
    Powinno to wyglądać na przykład tak:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
    — lub tak —
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

    Uprawnienia zgodne tylko z użytkownikami systemu Windows 2000

       [Unicode]   Unicode=yes    [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0     AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Uwaga: Jeśli są zainstalowane Internetowe usługi informacyjne, muszą zostać dodane następujące prawa użytkowników. nazwa_serwera to symbol zastępczy, który należy zmodyfikować stosownie do ustawień komputera:
       SeBatchLogonRight = IWAM_nazwa_serwera,IUSR_nazwa_serwera   SeInteractiveLogonRight = IUSR_nazwa_serwera   SeNetworkLogonRight = IUSR_nazwa_serwera					
    Zapisz i zamknij nowy plik GptTmpl.inf.


  2. Zwiększ numer wersji zasad grupy. Zwiększenie numeru wersji zasad grupy jest konieczne, aby zmiany zasad zostały zachowane. Numery wersji szablonu obiektu zasad grupy są kontrolowane przez plik Gpt.ini.
    1. Otwórz plik Gpt.ini z następującej lokalizacji:
      ścieżka_sysvol\sysvol\nazwa_domeny\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Zwiększ numer version na tyle, aby typowa replikacja nie spowodowała dezaktualizacji nowego numeru wersji przed zresetowaniem zasad. Najlepiej zwiększyć numer, dodając cyfrę „0” na końcu numeru wersji albo cyfrę „1” na początku numeru wersji.
    3. Zapisz i zamknij plik Gpt.ini.
  3. Zastosuj nowe zasady grupy. Użyj narzędzia Secedit, aby ręcznie odświeżyć zasady grupy. Można to zrobić, wpisując następujące polecenie w wierszu polecenia:
    secedit /refreshpolicy zasady_komputera /enforce
    W podglądzie zdarzeń poszukaj w dzienniku aplikacji numeru zdarzenia „1704”, aby zweryfikować, czy propagacja zasad zakończyła się powodzeniem. Aby uzyskać więcej informacji dotyczących odświeżania zasad grupy, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    227448 Using Secedit.exe to force group policy to be applied again
Właściwości

Identyfikator artykułu: 267553 — ostatni przegląd: 08/07/2006 13:54:07 — zmiana: 4.1

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbgpo kbhowto KB267553
Opinia
dy>