你目前正处于脱机状态,正在等待 Internet 重新连接

如何在默认域控制器组策略对象中重置用户权限

概要
默认域控制器组策略对象 (GPO) 包含许多默认的用户权限设置。在有些情况下,更改默认设置可能会产生不希望出现的效果。这可能会导致出现对用户权限形成意外限制的情况。如果更改不是您所期望的,或者因为未记录所做的更改而不知道做了哪些更改,则可能有必要将这些用户权限设置重置为其默认值。

如果 Sysvol 文件夹的内容被手动重新编辑,或者是使用以下 Microsoft 知识库文章中介绍的步骤从备份还原的,则也可能会出现这一情况:
253268 丢失适当的 Sysvol 内容时出现组策略错误消息


当您尝试登录到域控制器的控制台时,如果收到以下错误信息,可能还必须将 SeInteractiveLogonRightSeDenyInteractiveLogonRight 用户权限设置重置为它们的默认值:
The local policy of this system does not permit you to logon interactively
更多信息
重置 GPO 的用户权限指派需要三个步骤:
  1. 编辑 GptTmpl.inf 文件。
  2. 提高组策略的版本(该更改可以在 Gpt.ini 文件夹中完成)。
  3. 应用新的组策略。
注意:执行这些步骤时一定要小心。GPO 模板配置不当可能导致域控制器无法运行。
  1. 编辑 GptTmpl.inf 文件。可以通过编辑 GptTmpl.inf 文件将用户权限设置重置为默认值。该文件位于“组策略”文件夹下的 Sysvol 文件夹中:
    sysvol 路径\sysvol\域名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
    注意:Sysvol 文件夹的默认路径为 %SystemRoot%\Sysvol

    要完全将用户权限重置为默认设置,请用以下默认的用户权限信息替代 GptTmpl.inf 文件中的现有信息。您可以复制下面适当的节并将其粘贴到现有的 GptTmpl.inf 文件中。

    请注意各个模板的权限设置。您应该根据所需的用户权限设置使用正确的安装模板。

    注意:Microsoft 强烈建议您在进行这些更改之前先备份 GptTmpl.inf 文件。

    与 Windows 2000 以前版本的用户兼容的权限

    [Unicode]Unicode=yes[Event Audit]AuditSystemEvents = 0AuditLogonEvents = 0AuditObjectAccess = 0AuditPrivilegeUse = 0AuditPolicyChange = 0AuditAccountManage = 0AuditProcessTracking = 0AuditDSAccess = 0AuditAccountLogon = 0[Privilege Rights]SeAssignPrimaryTokenPrivilege =SeAuditPrivilege =SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544SeBatchLogonRight = SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0SeCreatePagefilePrivilege = *S-1-5-32-544SeCreatePermanentPrivilege =SeCreateTokenPrivilege =SeDebugPrivilege = *S-1-5-32-544SeIncreaseBasePriorityPrivilege = *S-1-5-32-544SeIncreaseQuotaPrivilege = *S-1-5-32-544SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544SeLoadDriverPrivilege = *S-1-5-32-544SeLockMemoryPrivilege =SeMachineAccountPrivilege = *S-1-5-11  SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0SeProfileSingleProcessPrivilege = *S-1-5-32-544SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544SeSecurityPrivilege = *S-1-5-32-544SeServiceLogonRight =SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544SeSystemEnvironmentPrivilege = *S-1-5-32-544SeSystemProfilePrivilege = *S-1-5-32-544SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544SeTakeOwnershipPrivilege = *S-1-5-32-544SeTcbPrivilege =SeDenyInteractiveLogonRight =SeDenyBatchLogonRight =SeDenyServiceLogonRight =SeDenyNetworkLogonRight =SeUndockPrivilege = *S-1-5-32-544SeSyncAgentPrivilege =SeEnableDelegationPrivilege = *S-1-5-32-544[Version]signature="$CHICAGO$"Revision=1[Registry Values]MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    注意:如果安装了 Internet 信息服务,则必须将以下用户帐户附加到这些权限已列出的帐户后面:
    SeBatchLogonRight = IWAM_%服务器名%,IUSR_%服务器名%SeInteractiveLogonRight = IUSR_%服务器名%SeNetworkLogonRight = IWAM_%服务器名%,IUSR_%服务器名%					
    其中,%服务器名% 变量是一个占位符,您应该编辑它以反映出计算机设置。

    例如:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
    注意:如果安装了终端服务,则必须将以下用户帐户附加到此权限已列出的帐户后面:
    SeInteractiveLogonRight = TsInternetUser					
    例如:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
    - 或 -
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

    只与 Windows 2000 用户兼容的权限

    [Unicode]Unicode=yes[Event Audit]AuditSystemEvents = 0AuditLogonEvents = 0AuditObjectAccess = 0AuditPrivilegeUse = 0AuditPolicyChange = 0AuditAccountManage = 0AuditProcessTracking = 0AuditDSAccess = 0  AuditAccountLogon = 0[Privilege Rights]SeAssignPrimaryTokenPrivilege =SeAuditPrivilege =SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544SeBatchLogonRight = SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0SeCreatePagefilePrivilege = *S-1-5-32-544SeCreatePermanentPrivilege =SeCreateTokenPrivilege =SeDebugPrivilege = *S-1-5-32-544SeIncreaseBasePriorityPrivilege = *S-1-5-32-544SeIncreaseQuotaPrivilege = *S-1-5-32-544SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544SeLoadDriverPrivilege = *S-1-5-32-544SeLockMemoryPrivilege =SeMachineAccountPrivilege = *S-1-5-11SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0SeProfileSingleProcessPrivilege = *S-1-5-32-544SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544SeSecurityPrivilege = *S-1-5-32-544SeServiceLogonRight =SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544SeSystemEnvironmentPrivilege = *S-1-5-32-544SeSystemProfilePrivilege = *S-1-5-32-544SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544SeTakeOwnershipPrivilege = *S-1-5-32-544SeTcbPrivilege =SeDenyInteractiveLogonRight =SeDenyBatchLogonRight =SeDenyServiceLogonRight =SeDenyNetworkLogonRight =SeUndockPrivilege = *S-1-5-32-544SeSyncAgentPrivilege =SeEnableDelegationPrivilege = *S-1-5-32-544[Version]signature="$CHICAGO$"Revision=1[Registry Values]MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    注意:如果安装有 Internet 信息服务,则必须添加以下用户权限。服务器名 变量是一个占位符,您应该编辑它以反映出计算机设置:
    SeBatchLogonRight = IWAM_服务器名,IUSR_服务器名SeInteractiveLogonRight = IUSR_服务器名SeNetworkLogonRight = IUSR_服务器名					
    保存并关闭新的 GptTmpl.inf 文件。


  2. 提高组策略的版本。您必须提高组策略的版本以确保保留策略更改。Gpt.ini 文件控制着组策略模板的版本号。
    1. 打开以下位置处的 Gpt.ini 文件:
      sysvol 路径\sysvol\域名\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. 版本 号提高到一个足够大的数字,以确保在重置策略之前,通常的复制操作不会使新版本号过期。提高版本号最可取的做法是,将数字“0”添加到版本号的末尾,或将数字“1”添加到版本号的开头。
    3. 保存并关闭 Gpt.ini 文件。
  3. 应用新的组策略。使用 Secedit 手动刷新组策略。这可以通过在命令提示符处键入以下命令行来完成:
    secedit /refreshpolicy machine_policy /enforce
    在事件查看器中,查看应用程序日志中的事件号“1704”,以确认策略是否成功传播。有关刷新组策略的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    227448 使用 Secedit.exe 强制重新应用组策略
属性

文章 ID:267553 - 上次审阅时间:06/16/2004 10:57:00 - 修订版本: 4.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbhowto kbgpo KB267553
反馈