如何在 Windows Server 中重置默认域组策略中的用户权限

  • 项目

本文介绍如何在 Windows Server 中重置默认域组策略对象 (GPO) 的用户权限。

适用于: 支持的 Windows Server 版本
原始 KB 编号: 324800

摘要

默认域 GPO 包含许多默认用户权限设置。 有时,如果更改默认设置,可能会对用户权限施加意外限制。 如果更改是意外更改,或者未记录更改,因此你不知道进行了哪些更改,则可能需要将用户权限设置重置为其默认值。

重置默认域 GPO 的用户权限

若要还原用户权限以使用默认域 GPO 的默认设置,请遵循本部分中介绍的过程,按照它们显示的顺序进行操作。

警告

执行以下过程时,请确保谨慎。 如果配置 GPO 模板不正确,可能会导致域控制器不可操作。

编辑 Gpttmpl.inf 文件

若要编辑 Gpttmpl.inf 文件,请执行以下步骤。

重要

在执行此过程之前,请备份 Gpttmpl.inf 文件。

  1. 启动 Windows 资源管理器并打开以下文件夹,其中 <Sysvol_path> 是 Sysvol 文件夹的路径:

    <>Sysvol_path\Sysvol\<DomainName>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit

    注意

    Sysvol 文件夹的默认路径为 %SystemRoot%\Sysvol

  2. 右键单击“ Gpttmpl.inf”,然后选择“ 打开”。

  3. 若要将用户权限完全重置为默认设置,请将 Gpttmpl.inf 文件中的现有信息替换为以下默认用户权限信息。 为此,请将以下文本粘贴到当前 Gpttmpl.inf 文件的相应部分:

    [Unicode]
Unicode=yes  
[System Access]  
MinimumPasswordAge = 1  
MaximumPasswordAge = 42  
MinimumPasswordLength = 7  
PasswordComplexity = 1  
PasswordHistorySize = 24  
LockoutBadCount = 0  
RequireLogonToChangePassword = 0  
ForceLogoffWhenHourExpire = 0  
ClearTextPassword = 0
LSAAnonymousNameLookup = 0  
[Kerberos Policy]  
MaxTicketAge = 10  
MaxRenewAge = 7  
MaxServiceAge = 600  
MaxClockSkew = 5  
TicketValidateClient = 1
[Registry Values]
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1  
[Version]  
signature="$CHICAGO$"  
Revision=1

  4. 在“ 文件 ”菜单上,选择“ 保存”,然后选择“ 退出”。

编辑 Gpt.ini 文件

Gpt.ini 文件控制 GPO 模板版本号。 必须编辑 Gpt.ini 文件才能增加 GPO 模板版本号。 为此,请执行以下操作:

  1. 启动 Windows 资源管理器并打开以下文件夹,其中 <Sysvol_path> 是 Sysvol 文件夹的路径: <Sysvol_path>\Sysvol\Domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

    注意

    Sysvol 文件夹的默认路径为 %SystemRoot%\Sysvol

  2. 右键单击 Gpt.ini,然后选择“ 打开”。

  3. 将版本号增加到一个足以保证典型复制在重置策略之前不会早于新版本号的数字。 通过将数字“0”添加到版本号末尾或将数字“1”添加到版本号的开头来递增数字。

  4. 在“ 文件 ”菜单上,选择“ 保存”,然后选择“ 退出”。

使用 GPUpdate 刷新组策略

使用 GPUpdate 工具应用新的 GPO,以手动重新应用所有策略设置。 为此,请执行以下操作:

  1. 选择“开始”,然后选择“运行”
  2. 在“ 打开 ”框中,键入 cmd,然后选择“ 确定”。
  3. 在命令提示符下,键入 GPUpdate /Force,然后按 Enter
  4. 键入 exit ,然后按 Enter 退出命令提示符。

注意

若要查找策略处理中的错误,请查看事件日志。

使用 事件查看器 验证 GPO 是否已成功应用。 为此,请执行以下操作:

  1. 选择“开始”,指向“管理工具”,然后选择“事件查看器”。
  2. 选择“ 应用程序”。

查找事件 ID 1704 以验证是否已成功应用 GPO。