Làm thế nào để thiết lập lại quyền người dùng trong các đối tượng Default miền bộ điều khiển Group Policy

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:267553
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp kết thúc hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Đối tượng chính sách nhóm bộ điều khiển mặc định miền (Group Policy GPO) có chứa nhiều thiết lập quyền người dùng mặc định. Trong một số trường hợp, thay đổi các thiết lập mặc định có thể tạo ra tác dụng không mong muốn. Điều này có thể dẫn đến một điều kiện nơi bất ngờ hạn chế tồn tại trên các quyền của người dùng. Nếu những thay đổi này bất ngờ, hoặc nếu những thay đổi không được ghi nhận vì vậy mà nó là không rõ đó đã được thay đổi, nó có thể cần thiết để thiết lập lại các thiết đặt quyền người dùng mặc định của họ.

Tình trạng này cũng có thể dẫn đến nếu nội dung của thư mục Sysvol đã tự xây dựng lại, hoặc khôi phục từ bản sao lưu bằng cách sử dụng các thủ tục trong bài viết sau trong cơ sở kiến thức Microsoft:
253268 Nhóm thông báo chính sách lỗi khi thích hợp Sysvol nội dung bị thiếu
Nó có thể là cũng cần thiết để thiết lập lại các SeInteractiveLogonRightSeDenyInteractiveLogonRight quyền người dùng thiết đặt mặc định của họ nếu bạn nhận được thông báo lỗi sau khi bạn cố gắng đăng nhập vào giao diện điều khiển của bộ điều khiển tên miền:
Chính sách Cục bộ của hệ thống này không cho phép bạn đăng nhập tương tác
THÔNG TIN THÊM
Có ba bước cần thiết để thiết lập lại các bài tập quyền người dùng cho GPO:
  1. Đăng nhập vào chế độ Khôi phục dịch vụ thư mục.
  2. Chỉnh sửa GptTmpl.inf file.
  3. Tăng Phiên bản chính sách nhóm (thay đổi này được thực hiện trong Gpt.ini).
  4. Áp dụng chính sách nhóm mới.
Chú ý Hãy thận trọng khi thực hiện các bước sau. Không chính xác cấu hình mẫu GPO có thể khiến bạn bộ điều khiển vùng không thể loại bỏ.
  1. Chỉnh sửa GptTmpl.inf file. Thiết đặt quyền người dùng có thể được đặt lại thành mặc định bằng cách chỉnh sửa tập tin GptTmpl.inf. Tệp này được đặt trong thư mục chính sách nhóm theo thư mục Sysvol:
    đường dẫn Sysvol\sysvol\tên miền\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MÁY\Microsoft\Windows NT\SecEdit
    Chú ý Đường dẫn mặc định cho thư mục Sysvol là %SystemRoot%\Sysvol

    Hoàn toàn đặt lại quyền người dùng để thiết lập mặc định, thay thế thông tin hiện có trong tập tin GptTmpl.inf với các thông tin sau quyền người dùng mặc định. Bạn có thể sao chép, và sau đó dán phần thích hợp dưới đây vào tập tin GptTmpl.inf hiện tại của bạn.

    Xin lưu ý các thiết đặt cấp phép cho mỗi mẫu. Bạn nên sử dụng mẫu chính xác cho cài đặt của bạn dựa trên thiết lập quyền người dùng mong muốn của bạn.

    Chú ý Microsoft mạnh mẽ khuyến cáo sao lưu các tập tin GptTmpl.inf trước khi thực hiện những thay đổi này.

    Điều khoản tương thích với Pre-Windows 2000 người dùng

       [Unicode]   Unicode=yes   [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Chú ý Nếu Internet Information Services được cài đặt, bạn phải gắn thêm các tài khoản người dùng sau để những người đã được liệt kê cho các quyền này:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%   SeInteractiveLogonRight = IUSR_%servername%   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%					
    nơi servername % % biến là một giữ chỗ, và bạn nên sửa nó để phản ánh các thiết đặt máy tính.

    Một ví dụ sẽ giống như thế này:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
    Chú ý Nếu dịch vụ đầu cuối được cài đặt, bạn phải gắn thêm trương mục người dùng sau đây để những người đã được liệt kê cho quyền này:
       SeInteractiveLogonRight = TsInternetUser					
    Một ví dụ sẽ giống như thế này:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
    - hoặc này-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

    Điều khoản tương thích chỉ với người dùng Windows 2000

       [Unicode]   Unicode=yes    [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0     AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    Chú ý Nếu Internet Information Services được cài đặt, bạn có thêm các quyền sau đây của người dùng. Các ServerName biến là một giữ chỗ, và bạn nên sửa nó để phản ánh các thiết đặt máy tính:
       SeBatchLogonRight = IWAM_servername,IUSR_servername   SeInteractiveLogonRight = IUSR_servername   SeNetworkLogonRight = IUSR_servername					
    Lưu, và sau đó đóng tệp GptTmpl.inf mới.


  2. Tăng Phiên bản chính sách nhóm. Bạn phải tăng Phiên bản chính sách nhóm để đảm bảo rằng chính sách thay đổi được giữ lại. Các tập tin Gpt.ini kiểm soát các nhóm chính sách mẫu phiên bản số.
    1. Mở tập tin Gpt.ini từ vị trí sau:
      đường dẫn Sysvol\sysvol\tên miền\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Tăng các Phiên bản số cho một số lớn, đủ để đảm bảo rằng sao nhân bản bình thường sẽ không làm cho số phiên bản mới trở nên lỗi thời trước khi các chính sách có thể được đặt lại. Nó là thích hợp hơn để tăng số lượng bằng cách thêm một số "0" để kết thúc số phiên bản, hoặc số "1" để bắt đầu một số phiên bản.
    3. Lưu và đóng tập tin Gpt.ini.
  3. Áp dụng chính sách nhóm mới. Sử dụng Secedit để tự làm mới chính sách nhóm. Điều này có thể được thực hiện bằng cách gõ dòng sau một dấu nhắc lệnh:
    secedit /refreshpolicy machine_policy / thực thi
    Event Viewer, kiểm tra Nhật ký ứng dụng cho sự kiện số "1704" để xác minh tuyên truyền chính sách thành công. Để biết thêm chi tiết về làm mới chính sách nhóm, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    227448Bằng cách sử dụng Secedit.exe để ép buộc nhóm chính sách được áp dụng một lần nữa

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 267553 - Xem lại Lần cuối: 12/05/2015 20:55:09 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbgpo kbhowto kbmt KB267553 KbMtvi
Phản hồi