كيفية إعادة تعيين حقوق المستخدم في كائن "نهج مجموعة وحدات تحكم المجال الإفتراضي"

ترجمات الموضوعات ترجمات الموضوعات
معرف المقالة: 267553 - عرض المنتجات التي تنطبق عليها هذه المقالة.
ملاحظة
تنطبق هذه المقالة على Windows 2000. الدعم لـ Windows 2000 تنتهي في 13 يوليو 2010.Windows 2000 End-of-Support Solution Center نقطة بداية لتخطيط استراتيجية الترحيل الخاص بك من نظام التشغيل Windows 2000. لمزيد من المعلومات راجع Microsoft Support Lifecycle Policy.
توسيع الكل | طي الكل

الموجز

يحتوي كائن "نهج مجموعة وحدات تحكم المجال الإفتراضي" (GPO) على العديد من إعدادات حقوق المستخدم الافتراضية. في بعض الحالات، قد ينتج تغيير الإعدادات الافتراضية تأثيرات غير مرغوب فيها. قد ينتج عن هذا شرط حيث توجد قيود غير متوقع على حقوق المستخدم. إذا كان يتم التغييرات غير متوقع أو إذا لم يتم تسجيلها التغييرات بحيث يكون غير معروف تم إجراء أي تغييرات قد يكون من الضروري إعادة تعيين إعدادات حقوق المستخدم هذه إلى إعداداتها الافتراضية.

قد يؤدي هذا الموقف أيضاً إذا كانت محتويات مجلد Sysvol يدوياً إعادة إنشاء أو استعادة من النسخة الاحتياطية باستخدام الإجراءات في المقالة التالية في "قاعدة المعارف لـ Microsoft" (ينتقل بك هذا الارتباط إلى صفحة قد يكون محتواها كله أو جزء منه باللغة الإنجليزية):
253268رسالة خطأ في نهج المجموعة عند المحتويات Sysvol المناسب مفقود
قد يستلزم أيضًا إعادة تعيين إعدادات حقوق المستخدم SeInteractiveLogonRightSeDenyInteractiveLogonRight إلى إعداداتها الافتراضية في حالة ظهور رسالة الخطأ التالية عند محاولة تسجيل الدخول إلى وحدة تحكم المجال:
لا يسمح النهج المحلي لهذا النظام بتسجيل الدخول بشكل تفاعلي

معلومات أخرى

هناك ثلاث خطوات المطلوب إعادة تعيين تعيينات حقوق المستخدم كائن نهج المجموعة:
  1. تسجيل الدخول إلى وضع استعادة خدمات الدلائل.
  2. قم بتحرير الملف GptTmpl.inf.
  3. زيادة إصدار نهج المجموعة (إجراء هذا التغيير في Gpt.ini).
  4. تطبيق نهج مجموعة جديد.
ملاحظة توخي الحذر عند تنفيذ هذه الخطوات. تكوين قالب كائن نهج المجموعة بشكل غير صحيح قد يؤدي وحدات التحكم بالمجال الخاصة بك غير قابل للعمل.
  1. قم بتحرير الملف GptTmpl.inf. قد يتم إعادة تعيين إعدادات "حقوق المستخدم" إلى الإعدادات الافتراضية بواسطة تحرير الملف GptTmpl.inf. يوجد هذا الملف في المجلد "نهج المجموعة" ضمن مجلد Sysvol:
    sysvol path\sysvol\ \Microsoft\Windows NT\SecEdit MACHINE \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\ domain name
    ملاحظة هو المسار الافتراضي للمجلد Sysvol %SystemRoot%\Sysvol

    لإعادة تعيين حقوق المستخدم إلى الإعدادات الافتراضية بشكل كامل قم باستبدال المعلومات الموجودة في الملف GptTmpl.inf المعلومات حقوق المستخدم الافتراضية التالية. يمكن نسخ ثم قم بلصق القسم المناسب أدناه في الملف GptTmpl.inf الموجودة.

    الرجاء ملاحظة إعدادات الأذونات لكل قالب. يجب أن تستخدم قالب الصحيح للتثبيت على إعدادات حقوق المستخدم المطلوب.

    ملاحظة تنصح Microsoft بشدة النسخ الاحتياطي الملف GptTmpl.inf قبل إجراء هذه التغييرات.

    الأذونات المتطابقة مع مستخدمي Pre-Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    ملاحظة إذا تم تثبيت "خدمات معلومات إنترنت" يجب إلحاق حسابات المستخدمين التالية إلى تلك المذكورة مسبقاً على هذه الحقوق:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    حيث المتغير % % أن servername عنصر نائب ويكون ينبغي تحرير لعكس إعدادات الكمبيوتر.

    مثال تبدو هكذا:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    ملاحظة الخدمات الطرفية إذا تم تثبيته، يجب إلحاق حساب المستخدم التالي إلى تلك المذكورة مسبقاً على هذا الحق:
       SeInteractiveLogonRight = TsInternetUser
    					
    مثال تبدو هكذا:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    - أو هذا-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    الأذونات المتطابقة مع مستخدمي Windows 2000 فقط

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    ملاحظة إذا تم تثبيت خدمات معلومات إنترنت "، يجب إضافة حقوق المستخدم التالية. متغير أن servername عنصر نائب و ينبغي تحرير لعكس إعدادات الكمبيوتر:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    حفظ ثم قم بإغلاق الملف GptTmpl.inf الجديد.


  2. زيادة إصدار نهج المجموعة. يجب زيادة إصدار نهج المجموعة للتأكد من أن النهج الاحتفاظ بتغييرات. يتحكم ملف Gpt.ini أرقام الإصدارات "قالب نهج المجموعة.
    1. افتح ملف Gpt.ini من الموقع التالي:
      اسم المجال \sysvol\ مسار sysvol \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. زيادة رقم الإصدار رقماً كبير تضمن النسخ المتماثل العادي هذا لن يجعل رقم الإصدار الجديد تصبح قديمة قبل إعادة تعيين النهج. وهو يفضل زيادة الرقم إما إضافة الرقم "0" إلى نهاية رقم الإصدار أو الرقم "1" إلى البداية رقم الإصدار.
    3. احفظ وأغلق الملف Gpt.ini.
  3. تطبيق نهج مجموعة جديد. استخدم Secedit لتحديث نهج المجموعة يدوياً. يمكن أن يتم ذلك عن طريق كتابة السطر التالي في موجه الأوامر:
    secedit /refreshpolicy machine_policy / فرض
    في "عارض الأحداث" ، راجع "سجل التطبيقات" لعدد الأحداث "1704" التحقق من نشر النهج بنجاح. لمزيد من المعلومات حول تحديث نهج المجموعة "، انقر فوق رقم المقالة التالي لعرضها في" قاعدة المعارف لـ Microsoft "(ينتقل بك هذا الارتباط إلى صفحة قد يكون محتواها كله أو جزء منه باللغة الإنجليزية):
    227448استخدام Secedit.exe لإجبار "نهج المجموعة تطبيق مرة أخرى

الخصائص

معرف المقالة: 267553 - تاريخ آخر مراجعة: 11/صفر/1428 - مراجعة: 4.5
تنطبق على
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
كلمات أساسية: 
kbmt kbgpo kbhowto KB267553 KbMtar
ترجمة آلية
هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية
اضغط هنا لرابط المقالة باللغة الانجليزية267553

إرسال ملاحظات

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com