Você está offline; aguardando reconexão

Como redefinir direitos de usuário no objeto da diretiva de grupo Diretiva Controladores de domínio padrão

Sumário
O padrão da Diretiva de controladores de domínio GPO (Objeto da Diretiva de Grupo) contém muitas configurações padrão dos direitos de usuário. Em alguns casos, a alteração das configurações padrão podem produzir efeitos indesejáveis. Isso pode resultar em uma condição em que há restrições inesperadas nos direitos do usuário. Caso as alterações sejam inesperadas ou as alterações não tenham sido registradas de forma que não se saibam quais alterações foram feitas, talvez seja necessário redefinir as configurações dos direitos do usuário para o padrão.

A situação também pode acontecer caso o conteúdo da pasta Sysvol tenha sido recriado manualmente ou restaurado a partir de backup, usando os procedimentos no seguinte artigo da Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
253268 Mensagem de erro de diretiva de grupo quando o conteúdo apropriado de Sysvol não é encontrado
Também pode ser necessário redefinir as configurações dos direitos de usuário SeInteractiveLogonRight e SeDenyInteractiveLogonRight para o padrão, se a seguinte mensagem de erro for exibida ao tentar fazer logon no console do controlador de domínio:
A diretiva local deste sistema não permite que você faça logon interativamente
Mais Informações
Há três etapas necessárias para redefinir as atribuições dos direitos do usuário para o GPO:
  1. Fazer logon no Modo de restauração dos serviços de diretório.
  2. Editar o arquivo GptTmpl.inf.
  3. Incrementar a versão da diretiva de grupo (a alteração é feita no Gpt.ini).
  4. Aplicar a nova diretiva de grupo.
Observação Tome cuidado ao executar as seguintes etapas. Se configurar incorretamente o modelo de GPO, você pode tornar os controladores de domínio inoperáveis.
  1. Editar o arquivo GptTmpl.inf. As configurações dos direitos do usuário podem ser redefinidas para o padrão, editando o arquivo GptTmpl.inf. O arquivo está localizado na pasta Diretiva de Grupo na pasta Sysvol:
    caminho_de_sysvol\sysvol\nome_do_ domínio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MÁQUINA\Microsoft\Windows NT\SecEdit
    Observação O caminho padrão da pasta Sysvol é %SystemRoot%\Sysvol

    Para redefinir completamente os direitos do usuário para as configurações padrão, substitua as informações existentes no arquivo GptTmpl.inf pelas informações sobre os direitos do usuário padrão. É possível copiar e colar a seção apropriada abaixo no arquivo GptTmpl.inf existente.

    Anote as configurações de permissão de cada modelo. Você deve usar o modelo correto para a instalação com base nas configurações dos direitos do usuário desejadas.

    Observação A Microsoft recomenda que você faça backup do arquivo GptTmpl.inf antes de realizar as alterações.

    Permissões compatíveis com usuários anteriores ao Windows 2000

       [Unicode]   Unicode=yes   [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Observação Caso o IIS (Serviços de informações da Internet) esteja instalado, é necessário acrescentar as seguintes contas de usuário às já listadas para estes direitos:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%   SeInteractiveLogonRight = IUSR_%servername%   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%					
    em que a variável %servername% é um espaço reservado e que deve ser editada para refletir as configurações do computador.

    Um exemplo seria como este:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
    Observação Caso os Serviços de terminal estejam instalados, é necessário acrescentar a seguinte conta de usuário às já listadas para o direito:
       SeInteractiveLogonRight = TsInternetUser					
    Um exemplo seria como este:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
    -ou este-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

    Permissões compatíveis apenas com usuários do Windows 2000

       [Unicode]   Unicode=yes    [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0     AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Observação Caso o IIS esteja instalado, é necessário adicionar os seguintes direitos do usuário. A variável nome_do_servidor é um espaço reservado e que deve ser editado para refletir as configurações do computador:
       SeBatchLogonRight = IWAM_servername,IUSR_servername   SeInteractiveLogonRight = IUSR_servername   SeNetworkLogonRight = IUSR_servername					
    Salve e feche o novo arquivo GptTmpl.inf.


  2. Incremente a versão da diretiva de grupo. É necessário aumentar a versão da diretiva de grupo para assegurar a manutenção das alterações na diretiva. O arquivo Gpt.ini controla os números de versão do modelo da diretiva de grupo.
    1. Abra o arquivo Gpt.ini na seguinte localização:
      caminho_de_sysvol\sysvol\nome _de _domínio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Aumente o número de versão para um número grande o suficiente para garantir que a replicação normal não fará o número da nova versão se tornar desatualizado antes da redefinição da diretiva. É preferível incrementar o número adicionando o número "0" ao final do número de versão ou o número "1" ao início do número de versão.
    3. Salve e feche o arquivo Gpt.ini.
  3. Aplique a nova diretiva de grupo. Use Secedit para atualizar manualmente a diretiva de grupo. Isto pode ser realizado, digitando a seguinte linha em um prompt de comando:
    secedit /refreshpolicy machine_policy /enforce
    Em Visualizar eventos, verifique o log do aplicativo em busca do número de evento "1704" para verificar o êxito da propagação da diretiva. Para obter mais informações sobre como atualizar a diretiva de grupo, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    227448 Como usar o Secedit.exe para forçar uma nova aplicação da diretiva de grupo
Propriedades

ID do Artigo: 267553 - Última Revisão: 08/07/2006 22:59:59 - Revisão: 4.1

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbgpo kbhowto KB267553
Comentários
l>'="">