DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 267553 - Geändert am: Freitag, 27. Januar 2006 - Version: 4.0

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
267553  (http://support.microsoft.com/kb/267553/EN-US/ ) How to Reset User Rights in the Default Domain Controllers Group Policy Object
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Zusammenfassung

Das Gruppenrichtlinienobjekt für Standarddomänencontroller enthält viele Standardeinstellungen für Benutzerrechte. In manchen Fällen kann das Ändern der Standardeinstellungen unerwünschte Effekte haben. Das kann unerwartete Einschränkungen für die Benutzerrechte zur Folge haben. Wenn die Änderungen unerwartet sind oder nicht dokumentiert wurden, sodass nicht bekannt ist, welche Änderungen vorgenommen wurden, kann es erforderlich sein, diese Einstellungen für Benutzerrechte auf den Standard zurückzusetzen.

Diese Situation kann auch dann auftreten, wenn der Inhalt des Ordners "Sysvol" manuell neu erstellt wurde oder anhand der im folgenden Artikel der Microsoft Knowledge Base beschriebenen Prozeduren aus einer Sicherung wiederhergestellt wurde:
253268  (http://support.microsoft.com/kb/253268/DE/ ) Gruppenrichtlinien-Fehlermeldung, wenn entsprechende Sysvol-Inhalte fehlen


Es ist also möglicherweise erforderlich, die Einstellungen der Benutzerrechte SeInteractiveLogonRight und SeDenyInteractiveLogonRight auf ihren Standard zurückzusetzen, wenn Sie beim Versuch, sich an die Konsole des Domänencontrollers anzumelden, folgende Fehlermeldung erhalten:
Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.

Weitere Informationen

Drei Schritte müssen durchgeführt werden, um die Zuweisung der Benutzerrechte für das Gruppenrichtlinienobjekt zurückzusetzen:
  1. Bearbeiten Sie die Datei "GptTmpl.inf".
  2. Erhöhen Sie die Version der Gruppenrichtlinie (diese Änderung wird in der Datei "Gpt.ini" durchgeführt).
  3. Wenden Sie die neue Gruppenrichtlinie an.
Hinweis: Bei der Durchführung dieser Schritte ist Vorsicht geboten. Eine falsche Konfiguration der Vorlage für das Gruppenrichtlinienobjekt kann dazu führen, dass Ihre Domänencontroller nicht mehr funktionsfähig sind.
  1. Bearbeiten Sie die Datei "GptTmpl.inf". Die Einstellungen für die Benutzerrechte können durch Änderung der Datei "GptTmpl.inf" auf ihren Standard zurückgesetzt werden. Diese Datei befindet sich im Gruppenrichtlinienordner unter dem Ordner "Sysvol":
    sysvol-Pfad\sysvol\Domänenname\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\COMPUTER\Microsoft\Windows NT\SecEdit
    Hinweis: Der Standardpfad für den Ordner "Sysvol" lautet "%SystemRoot%\Sysvol".

    Wenn Sie die Benutzerrechte komplett auf die Standardeinstellungen zurücksetzen möchten, ersetzen Sie die vorhandenen Informationen in der Datei "GptTmpl.inf" durch die folgenden Standardeinstellungen für die Benutzerrechte. Sie können den jeweiligen Abschnitt unten kopieren und dann in Ihre vorhandene Datei "GptTmpl.inf" einfügen.

    Bitte beachten Sie die Berechtigungseinstellungen für die einzelnen Vorlagen. Verwenden Sie auf Basis der gewünschten Einstellungen für die Benutzerrechte die richtige Vorlage.

    Hinweis: Microsoft empfiehlt dringend, die Datei "GptTmpl.inf" zu sichern, bevor Sie diese Änderungen durchführen.

    Berechtigungskompatibel mit Benutzern vor Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Hinweis: Wenn die Internetinformationsdienste installiert sind, müssen Sie für diese Benutzerrechte die folgenden Benutzerkonten an die bereits aufgeführten Konten anhängen:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    Die Variable "%servername%" müssen Sie durch eine Angabe ersetzen, die Ihren Computereinstellungen entspricht.

    Beispiel:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    Hinweis: Wenn die Terminaldienste installiert sind, müssen Sie für dieses Benutzerrecht das folgende Benutzerkonto an die bereits aufgeführten Konten anhängen:
       SeInteractiveLogonRight = TsInternetUser
    					
    Beispiel:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    -or this-
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Berechtigungskompatibel nur mit Windows 2000-Benutzern

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Hinweis: Wenn die Internetinformationsdienste installiert sind, müssen Sie die folgenden Benutzerrechte hinzufügen. Den Platzhalter servername müssen Sie durch eine Angabe ersetzen, die Ihren Computereinstellungen entspricht:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    Sichern Sie die neue Datei "GptTmpl.inf", und schließen Sie sie.


  2. Erhöhen Sie die Version der Gruppenrichtlinie. Sie müssen die Version der Gruppenrichtlinie erhöhen, um sicherzustellen, dass die Richtlinienänderungen erhalten bleiben. Die Datei "Gpt.ini" steuert die Versionsnummern der Gruppenrichtlinienvorlage.
    1. Öffnen Sie die Datei "Gpt.ini" aus dem folgenden Pfad:
      sysvol-Pfad\sysvol\Domänenname\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Erhöhen Sie die Nummer der Version auf einen Wert, der hoch genug ist, um zu gewährleisten, dass die Version nicht durch die normale Replikation veraltet, bevor die Gruppenrichtlinie zurückgesetzt werden kann. Wenn Sie die Nummer erhöhen, sollten Sie die Zahl "0" am Ende der Versionsnummer oder die Zahl " am Anfang der Versionsnummer hinzufügen.
    3. Speichern und schließen Sie die Datei "Gpt.ini".
  3. Wenden Sie die neue Gruppenrichtlinie an. Verwenden Sie "Secedit", um die Gruppenrichtlinie manuell zu aktualisieren. Geben Sie dazu die folgende Zeile in einer Eingabeaufforderung an:
    secedit /refreshpolicy machine_policy /enforce
    Überprüfen Sie in der Ereignisanzeige das Anwendungsprotokoll auf die Ereignisnummer "1704", um sich zu vergewissern, dass die Richtlinie erfolgreich propagiert wurde. Weitere Informationen über die Aktualisierung der Gruppenrichtlinie finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    227448  (http://support.microsoft.com/kb/227448/DE/ ) "Secedit.exe": Erneut Anwendung von Gruppenrichtlinie veranlassen

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbgpo kbhowto KB267553
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: