如何重設預設網域控制站群組原則] 物件中的使用者權限

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:267553
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
本文已封存。本文係以「現狀」提供且不會再更新。
結論
預設網域控制站群組原則物件 (GPO) 包含許多預設使用者權限設定。在某些情況下變更預設設定可能會產生非預期的效果。這可能會導致未預期的限制存在於使用者的權限的條件。如果所做的變更都是未預期,或如果所做的變更都不記錄,如此它是未知做哪些變更,它可能需要這些使用者權限設定值重設為其預設值。

這種情形也可能會造成如果 Sysvol 資料夾的內容已手動重建,或從備份還原使用下列的文件 「 Microsoft 知識庫 」 中的程序:
253268當群組原則時,出現錯誤訊息適當 Sysvol 內容已遺失
它可能也需要 SeInteractiveLogonRightSeDenyInteractiveLogonRight 使用者權限設定值重設為其預設值,如果您嘗試登入網域控制站主控台時,收到下列錯誤訊息:
這個系統的本機原則不允許您以互動方式登入
其他相關資訊
有三個重設使用者權利指派 GPO 的所需的步驟:
  1. 登入到目錄服務還原模式。
  2. 編輯 GptTmpl.inf 檔案。
  3. 遞增 (使用 [Gpt.ini 做此變更) 的群組原則版本。
  4. 套用新的群組原則。
附註時執行這些步驟,則要小心。不正確地設定 GPO 範本可能會使您的網域控制站無法運作。
  1. 編輯 GptTmpl.inf 檔案。 使用者權限設定可能會被重設為預設值由編輯 GptTmpl.inf 檔案。這個檔案位於 [Sysvol 資料夾下的 [群組原則] 資料夾中:
    sysvol path\sysvol\ domain name \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\ MACHINE \Microsoft\Windows NT\SecEdit
    附註Sysvol 資料夾的預設路徑是 %SystemRoot%\Sysvol

    若要完全重設預設設定使用者的權限,取代下列的預設使用者權限資訊 GptTmpl.inf 檔案中現有的資訊。您可以複製,然後將下面適當的區段貼到您現有的 GptTmpl.inf 檔案。

    請注意每個範本的權限設定。您應該使用正確的範本的安裝根據您所要的使用者權限的設定。

    附註Microsoft 強烈建議進行這些變更之前,先備份 GptTmpl.inf 檔案。

    相容於 Pre-Windows 2000 使用者的權限

       [Unicode]   Unicode=yes   [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0   AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11     SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    附註如果安裝網際網路資訊服務必須將下列使用者帳戶附加到那些已經針對這些權限列出:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%   SeInteractiveLogonRight = IUSR_%servername%   SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%					
    %伺服器名稱 %變數是一個預留位置,並且應該編輯以反映電腦設定。

    範例看起來會像這樣:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1					
    附註 如果 「 終端機服務 」 安裝,您必須將下列使用者帳戶附加到那些已經針對此權限列出:
       SeInteractiveLogonRight = TsInternetUser					
    範例看起來會像這樣:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser					
    -或這個-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser					

    僅與 Windows 2000 使用者相容的權限

       [Unicode]   Unicode=yes    [Event Audit]   AuditSystemEvents = 0   AuditLogonEvents = 0   AuditObjectAccess = 0   AuditPrivilegeUse = 0   AuditPolicyChange = 0   AuditAccountManage = 0   AuditProcessTracking = 0   AuditDSAccess = 0     AuditAccountLogon = 0   [Privilege Rights]   SeAssignPrimaryTokenPrivilege =   SeAuditPrivilege =   SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeBatchLogonRight =    SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeCreatePagefilePrivilege = *S-1-5-32-544   SeCreatePermanentPrivilege =   SeCreateTokenPrivilege =   SeDebugPrivilege = *S-1-5-32-544   SeIncreaseBasePriorityPrivilege = *S-1-5-32-544   SeIncreaseQuotaPrivilege = *S-1-5-32-544   SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeLoadDriverPrivilege = *S-1-5-32-544   SeLockMemoryPrivilege =   SeMachineAccountPrivilege = *S-1-5-11   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0   SeProfileSingleProcessPrivilege = *S-1-5-32-544   SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544   SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544   SeSecurityPrivilege = *S-1-5-32-544   SeServiceLogonRight =   SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544   SeSystemEnvironmentPrivilege = *S-1-5-32-544   SeSystemProfilePrivilege = *S-1-5-32-544   SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544   SeTakeOwnershipPrivilege = *S-1-5-32-544   SeTcbPrivilege =   SeDenyInteractiveLogonRight =   SeDenyBatchLogonRight =   SeDenyServiceLogonRight =   SeDenyNetworkLogonRight =   SeUndockPrivilege = *S-1-5-32-544   SeSyncAgentPrivilege =   SeEnableDelegationPrivilege = *S-1-5-32-544   [Version]   signature="$CHICAGO$"   Revision=1   [Registry Values]   MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1					
    附註如果安裝網際網路資訊服務您必須加入下列使用者權限。伺服器名稱 變數是一個預留位置,並且應該編輯以反映電腦設定:
       SeBatchLogonRight = IWAM_servername,IUSR_servername   SeInteractiveLogonRight = IUSR_servername   SeNetworkLogonRight = IUSR_servername					
    儲存後再關閉新 GptTmpl.inf 檔案。


  2. 增量群組原則版本。 您必須增加群組原則版本,以確保所做的變更會保留的原則。Gpt.ini 檔案控制群組原則範本版本號碼。
    1. 從下列位置開啟 Gpt.ini 檔案:
      sysvol 路徑 \sysvol\ 網域名稱 \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. 增加 版本 號碼為不夠大,無法保證該正常的複寫不會讓新過時,重設原則之前的版本號碼的數字。最好藉由新增編號"0"結尾的版本] 號碼或"1"開頭的數目版本號碼遞增號碼。
    3. 儲存並關閉 Gpt.ini 檔案。
  3. 套用新的群組原則。 使用 Secedit 手動重新整理群組原則。在命令提示字元中輸入下面這一行可以達到此目的:
    secedit /refreshpolicy machine_policy / 強制
    在 [事件檢視器] 中檢查應用程式記錄檔以事件編號 1704 」,以確認成功的原則傳播。如需有關重新整理群組原則的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
    227448若要強制群組原則,以重新套用使用 Secedit.exe

警告:本文為自動翻譯

內容

文章識別碼:267553 - 最後檢閱時間:12/05/2015 20:55:09 - 修訂: 4.5

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbmt kbgpo kbhowto KB267553 KbMtzh
意見反應
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)