DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 267553 - Última revisão: segunda-feira, 7 de Agosto de 2006 - Revisão: 4.1

Sumário

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

O objecto de política de grupo predefinida de controladores de domínio (GPO, Group Policy Object) contém muitas predefinições dos direitos de utilizador. Nalguns casos, a alteração das predefinições poderá provocar efeitos indesejáveis. Este procedimento pode resultar numa condição com restrições inesperadas nos direitos de utilizador. Se as alterações forem inesperadas, ou se as alterações não foram registadas (não sendo por isso possível saber as alterações que foram efectuadas), poderá ser necessário repor as predefinições dos direitos de utilizador.

Esta situação também pode ocorrer se o conteúdo da pasta Sysvol for recriado manualmente ou restaurado a partir de uma cópia de segurança utilizando os procedimentos descritos no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
253268  (http://support.microsoft.com/kb/253268/ ) Group Policy Error Message When Appropriate Sysvol Contents Are Missing
Também poderá ser necessário repor as predefinições dos direitos de utilizador SeInteractiveLogonRight e SeDenyInteractiveLogonRight se receber a seguinte mensagem de erro quando tentar iniciar sessão na consola do controlador de domínio:
A política local deste sistema não lhe permite iniciar sessão interactivamente (The local policy of this system does not permit you to logon interactively)

Mais Informação

Para repor as atribuições dos direitos de utilizador relativamente ao GPO necessita de efectuar três passos:
  1. Inicie sessão no modo de restauro dos serviços de directório.
  2. Edite o ficheiro GptTmpl.inf.
  3. Incremente a versão da política de grupo (esta alteração é efectuada no Gpt.ini).
  4. Aplique a nova política de grupo.
Nota: tenha atenção quando efectuar estes passos. A configuração incorrecta do modelo GPO pode levar a que os controladores de domínio deixem de funcionar.
  1. Edite o ficheiro GptTmpl.inf. É possível repor as predefinições dos direitos de utilizador, editando o ficheiro GptTmpl.inf. Este ficheiro está localizado na pasta da política de grupo da pasta Sysvol:
    caminho de sysvol\sysvol\nome_do_domínio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\COMPUTADOR\Microsoft\Windows NT\SecEdit
    Nota: o caminho predefinido para a pasta Sysvol é o seguinte %SystemRoot%\Sysvol

    Para repor completamente as predefinições dos direitos de utilizador, substitua as informações existentes no ficheiro GptTmpl.inf pelas seguintes informações predefinidas dos direitos de utilizador. Pode copiar e, em seguida, colar a secção apropriada abaixo para o ficheiro GptTmpl.inf existente.

    Anote as definições de permissões de cada modelo. Deve utilizar o modelo correcto para a sua instalação com base nas definições de direitos de utilizador desejadas.

    Nota: a Microsoft recomenda vivamente a criação de uma cópia de segurança do ficheiro GptTmpl.inf antes de efectuar estas alterações.

    Permissões compatíveis com utilizadores de versões anteriores ao Windows 2000

       [Unicode]
       Unicode=yes
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11  
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Nota: se tiver o IIS (Serviços de informação Internet - Internet Information Services) instalado, deve anexar as seguintes contas de utilizador às listadas para estes direitos:
       SeBatchLogonRight = IWAM_%servername%,IUSR_%servername%
       SeInteractiveLogonRight = IUSR_%servername%
       SeNetworkLogonRight = IWAM_%servername%,IUSR_%servername%
    					
    em que a variável %servername% é um marcador de posição e deve editá-la de modo a reflectir as definições do computador.

    Segue-se um exemplo:
    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0, IWAM_testserver1, IUSR_testserver1
    					
    Nota: se tiver os serviços de terminal instalados, deve anexar a seguinte conta de utilizador às listadas para este direito:
       SeInteractiveLogonRight = TsInternetUser
    					
    Segue-se um exemplo:
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544, TsInternetUser
    					
    - ou -
    SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544,IWAM_testserver1, IUSR_testserver1,TsInternetUser
    					

    Permissões compatíveis apenas com utilizadores do Windows 2000

       [Unicode]
       Unicode=yes 
       [Event Audit]
       AuditSystemEvents = 0
       AuditLogonEvents = 0
       AuditObjectAccess = 0
       AuditPrivilegeUse = 0
       AuditPolicyChange = 0
       AuditAccountManage = 0
       AuditProcessTracking = 0
       AuditDSAccess = 0  
       AuditAccountLogon = 0
       [Privilege Rights]
       SeAssignPrimaryTokenPrivilege =
       SeAuditPrivilege =
       SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeBatchLogonRight = 
       SeChangeNotifyPrivilege = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeCreatePagefilePrivilege = *S-1-5-32-544
       SeCreatePermanentPrivilege =
       SeCreateTokenPrivilege =
       SeDebugPrivilege = *S-1-5-32-544
       SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
       SeIncreaseQuotaPrivilege = *S-1-5-32-544
       SeInteractiveLogonRight = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeLoadDriverPrivilege = *S-1-5-32-544
       SeLockMemoryPrivilege =
       SeMachineAccountPrivilege = *S-1-5-11
       SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
       SeProfileSingleProcessPrivilege = *S-1-5-32-544
       SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544
       SeSecurityPrivilege = *S-1-5-32-544
       SeServiceLogonRight =
       SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544
       SeSystemEnvironmentPrivilege = *S-1-5-32-544
       SeSystemProfilePrivilege = *S-1-5-32-544
       SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544
       SeTakeOwnershipPrivilege = *S-1-5-32-544
       SeTcbPrivilege =
       SeDenyInteractiveLogonRight =
       SeDenyBatchLogonRight =
       SeDenyServiceLogonRight =
       SeDenyNetworkLogonRight =
       SeUndockPrivilege = *S-1-5-32-544
       SeSyncAgentPrivilege =
       SeEnableDelegationPrivilege = *S-1-5-32-544
       [Version]
       signature="$CHICAGO$"
       Revision=1
       [Registry Values]
       MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
    					
    Nota: se tiver o IIS (Serviços de informação Internet - Internet Information Services) instalado, tem de adicionar os seguintes direitos de utilizador. A variável servername é um marcador de posição e deve editá-la de modo a reflectir as definições do computador:
       SeBatchLogonRight = IWAM_servername,IUSR_servername
       SeInteractiveLogonRight = IUSR_servername
       SeNetworkLogonRight = IUSR_servername
    					
    Guarde e feche o novo ficheiro GptTmpl.inf.


  2. Incremente a versão da política de grupo. Tem de aumentar a versão da política de grupo para garantir que as alterações à política são mantidas. O ficheiro Gpt.ini controla os números de versão do modelo de política de grupo.
    1. Abra o ficheiro Gpt.ini a partir da seguinte localização:
      caminho de sysvol\sysvol\nome do domínio\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    2. Aumente o número de versão para um número suficientemente elevado de modo a garantir que a replicação normal não desactualizará o novo número de versão antes de a política ter sido reposta. É preferível incrementar o número adicionando o número "0" no fim do número de versão ou o número "1" no início do número de versão.
    3. Guarde e feche o ficheiro Gpt.ini.
  3. Aplique a nova política de grupo. Utilize Secedit para actualizar manualmente a política de grupo. Pode fazê-lo escrevendo o seguinte numa linha de comandos:
    secedit /refreshpolicy machine_policy /enforce
    No Visualizador de eventos (Event Viewer), verifique se existe o número de evento "1704" no registo de aplicações para se certificar de que a propagação da política foi efectuada com êxito. Para obter mais informações sobre a actualização da política de grupo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    227448  (http://support.microsoft.com/kb/227448/ ) Utilizar o Secedit.exe para forçar a reaplicação da política de grupo

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbgpo kbhowto KB267553
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft