Восстановление исходных настроек прав пользователей для объекта групповой политики, используемого контроллером домена по умолчанию

Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Аннотация
Объект групповой политики, используемый контроллером домена по умолчанию, содержит множество исходных настроек для прав пользователей. В некоторых случаях изменение исходных настроек может привести к нежелательным результатам, например, к возникновению непредвиденных ограничений для прав пользователей. Если изменения были непреднамеренными или не были записаны (то есть при невозможности выяснить, какие именно изменения были произведены), может оказаться целесообразным восстановить исходные настройки прав пользователей.

Данная ситуация может также возникнуть в случае, если содержимое папки Sysvol было изменено вручную или восстановлено из резервной копии с помощью операций, описанных в следующей статье базы знаний Майкрософт:
253268 Сообщение об ошибке групповой политики при отсутствии соответствующего содержимого папки Sysvol (эта ссылка может указывать на содержимое полностью или частично на английском языке)


Если при попытке входа в систему консоли контроллера домена появляется приведенное ниже сообщение об ошибке, необходимо восстановить настройки по умолчанию для прав SeInteractiveLogonRight и SeDenyInteractiveLogonRight.
Интерактивный вход в систему на данном компьютере запрещен локальной политикой
Дополнительная информация
Для восстановления исходных настроек прав пользователей для объекта групповой политики необходимо выполнить следующие действия.
  1. Отредактировать файл GptTmpl.inf.
  2. Увеличить версию групповой политики (это изменение производится в файле Gpt.ini).
  3. Применить новую групповую политику.
Примечание. При выполнении этих действий соблюдайте осторожность. Неправильная настройка шаблона объекта групповой политики может привести к неработоспособности контроллеров домена.
  1. Отредактируйте файл GptTmpl.inf. Исходные настройки прав пользователей можно восстановить, отредактировав файл GptTmpl.inf. Этот файл находится в папке групповой политики в папке
    путь_к_папке_sysvol\sysvol\имя_домена\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\КОМПЬЮТЕР\Microsoft\Windows NT\SecEdit
    Примечание. Путь к папке Sysvol по умолчанию: %SystemRoot%\Sysvol

    Чтобы полностью восстановить исходные настройки прав пользователей, замените существующие данные в файле GptTmpl.inf следующими данными. Для этого можно скопировать следующий фрагмент, а затем вставить его в существующий файл GptTmpl.inf.

    Обратите внимание на настройки для каждого шаблона. Выберите правильный шаблон в зависимости от необходимых настроек прав пользователей.

    Примечание. Корпорация Майкрософт настоятельно рекомендует создать резервную копию файла GptTmpl.inf перед внесением этих изменений.

    Настройки, совместимые с версиями, предшествующими Windows 2000

       [Unicode]   Unicode=yes   [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Примечание. Если на компьютере установлены службы IIS, к уже перечисленным для этих прав учетным записям пользователей необходимо добавить следующие:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%   SeInteractiveLogonRight = IUSR_%servername%   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%					
    где %servername% – это местозаполнитель, который необходимо отредактировать в соответствии с параметрами компьютера.

    Пример:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
    Примечание. Если на компьютере установлены службы терминалов, к уже перечисленным для этого права учетным записям пользователей необходимо добавить следующую:
       SeInteractiveLogonRight = TsInternetUser					
    Пример:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
    -или-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

    Настройки, совместимые только с Windows 2000

       [Unicode]   Unicode=yes   [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Примечание. Если на компьютере установлены службы IIS, следует добавить следующие права пользователей. servername – это местозаполнитель, который необходимо отредактировать в соответствии с параметрами компьютера.
       SeBatchLogonRight = IWAM_servername,IUSR_servername   SeInteractiveLogonRight = IUSR_servername   SeNetworkLogonRight = IUSR_servername					
    Сохраните и закройте файл GptTmpl.inf.


  2. Увеличьте версию групповой политики. Чтобы обеспечить сохранение изменений, необходимо увеличить версию групповой политики. Номера версий шаблонов групповой политики отображаются в файле Gpt.ini.
    1. Откройте файл Gpt.ini. Он находится в следующей папке:
      путь_к_папке_sysvol\sysvol\имя_домена\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Увеличьте номер версии таким образом, чтобы при нормальной репликации новый номер версии не оказался устаревшим до сброса политики. Для этого рекомендуется добавить 0 к концу номер версии или 1 к началу номера версии.
    3. Сохраните и закройте файл Gpt.ini.
  3. Примените новую групповую политику. Воспользуйтесь средством Secedit, чтобы вручную обновить групповую политику. Для этого в командной строке введите следующую команду:
    secedit /refreshpolicy machine_policy /enforce
    В окне просмотра событий убедитесь в наличии события с кодом 1704 в журнале событий. Дополнительные сведения об обновлении групповой политики см. в следующей статье базы знаний Майкрософт:
    227448 Повторное применение групповой политики с помощью средства Secedit.exe (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Свойства

Номер статьи: 267553 — последний просмотр: 12/05/2015 20:55:07 — редакция: 4.0

операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbgpo kbhowto KB267553
Отзывы и предложения