安全策略設定清單中無法使用 群組原則 設定

  • 文章

本文說明「系統物件:系統管理員群組成員所建立之對象的預設擁有者」群組原則 設定無法在安全策略設定清單中使用的問題。

適用:Windows Server 2012 R2
原始 KB 編號: 947721

徵狀

當您嘗試在執行 Windows Vista 或更新版本的電腦上存取 [系統物件:系統管理員群組成員所建立之物件的預設擁有者] 群組原則 設定時,安全策略設定清單中無法使用此設定。

當設定出現在您的安全組原則中時,Windows Vista 和較新的網域成員將會忽略此設定。

原因

Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 不再支援此設定。 啟用時,用戶帳戶控制 (UAC) 可確保使用者帳戶會作為在本機建立之所有對象的擁有者。 針對遠端訪問,系統管理員的群組將不會針對網路會話使用任何受限制的令牌。

由於已移除對設定的支援,因此安全性範本使用者介面中不再提供系統安全策略 「系統物件:系統管理員群組成員所建立之物件的默認擁有者」設定。

解決方案

您可以將 [系統對象:系統管理員群組成員所建立之物件的預設擁有者] 群組原則 設定新增至 [安全性範本] 使用者介面。

提示:此程式不會讓 Windows Vista 和更新版本接受 Windows XP 和 Windows Server 2003 的設定。

若要能夠為執行 Windows XP 或 Windows Server 2003 的某些電腦建立此 群組原則 設定,請在執行 Windows Server 2008 的計算機上遵循下列步驟:

  1. 以本機系統管理員身分登入 ,以設定 群組原則 設定。

  2. 建立 c:\windows\inf\Sceregvl.inf 檔案的備份複本。

  3. 取得此檔案的擁有權,並授與系統管理員群組完整存取用戶權力。 如果要執行這項操作,請依照下列步驟執行:

    注意事項

    此檔案是由 TrustedInstaller 群組所擁有。 因此,系統管理員只有唯讀存取權的用戶權力。

    1. 以滑鼠右鍵按兩下 c:\windows\inf\Sceregvl.inf 檔案,然後按兩下 [ 屬性]
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [進階]
    4. 按兩下 [ 擁有者] 索引 標籤。
    5. 按一下 [編輯]
    6. 在 [ 變更擁有者] 底下,按兩下 [ 系統管理員] 群組,然後按兩下 [ 確定]
    7. 按三次 [確定]

  4. 若要將檔案的完整存取權授與 Administrators 群組,請遵循下列步驟。

    注意事項

    在您提供系統管理員群組完整存取使用者權力之後,您可以編輯檔案並儲存變更。

    1. 以滑鼠右鍵按兩下 c:\windows\inf\Sceregvl.inf 檔案,然後按兩下 [ 屬性]
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [編輯]
    4. [群組] 或 [用戶名稱] 下,按兩下 [ 系統管理員] 群組。
    5. 在 [系統管理員的許可權] 下,按下以選取 [完全控制] 的 [允許] 複選框,然後按兩下 [確定]
    6. 按兩下 [確定 ] 關閉 [Sceregvl.inf 屬性] 對話框。

  5. 使用記事本開啟並編輯 c:\windows\inf\Sceregvl.inf 檔案。

  6. 複製下列應該全都位於一行中的文字:

    MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nodefaultadminowner,3,“System objects: Default owner for objects created by the members of the Administrators group”,3,0|系統管理員群組,1|物件建立者

  7. 將文字貼到檔案中的下列行後面: (MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy,4,%SCENoAp plyLegacyAuditPolicy%,0)

  8. 將變更儲存至檔案,然後結束 [記事本]。

  9. 將 c:\windows\inf\Sceregvl.inf 檔案的檔案擁有權和許可權重設回預設設定。 如果要執行這項操作,請依照下列步驟執行:

    1. 以滑鼠右鍵按兩下 c:\windows\inf\Sceregvl.inf 檔案,然後按兩下 [ 屬性]
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [進階]
    4. 按兩下 [ 擁有者] 索引 標籤。
    5. 按一下 [編輯]
    6. 按兩下 [其他使用者或群組]
    7. 按兩下 [位置]
    8. 在 [ 位置] 底下,按兩下您的本機電腦名稱,然後按兩下 [ 確定]
    9. 在 [ 選取使用者或群組] 視窗的 [ 輸入要選取的物件名稱] 底下輸入 NT SERVICE\TrustedInstaller,然後按兩下 [ 確定]
    10. [Sceregvl.inf 的進階安全性設定] 視窗中,按兩下 [變更擁有者] 下的 [TrustedInstaller] 帳戶,然後按兩下 [確定]
    11. 按三次 [確定]

  10. 將 c:\windows\inf\Sceregvl.inf 檔案的 Administrators 群組訪問許可權重設回只 讀 & 執行讀取。 如果要執行這項操作,請依照下列步驟執行:

    1. 以滑鼠右鍵按兩下 c:\windows\inf\Sceregvl.inf 檔案,然後按兩下 [ 屬性]
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [編輯]
    4. [群組] 或 [用戶名稱] 下,按兩下 [ 系統管理員] 群組。
    5. 在 [ 系統管理員的許可權] 下,按兩下以清除 [ 讀取 & 執行 ] 複選框和 [ 取] 複選框以外的所有複選框,然後按兩下 [ 確定]
    6. 按兩下 [確定 ] 關閉 [Sceregvl.inf 屬性] 對話框。

  11. 重新註冊 群組原則 Scecli.dll 檔案的用戶端擴展名。 若要這樣做,請開啟提升許可權的命令提示字元,輸入下列命令,然後按 ENTER:REGSVR32 scecli.dll单击 [確定]

  12. 若要在本機安全策略設定中套用「系統對象:系統管理員群組成員所建立之對象的預設擁有者」群組原則 設定,請遵循下列步驟。

注意事項

如果計算機是域控制器,請使用「域控制器安全策略」嵌入式管理單元。

  1. 依序按兩下 [開始]、[控制台]、[系統管理工具] 及 [本機安全策略]
  2. 移至 [安全性設定\本機原則\安全性選項] 位置。
  3. 在視窗的右窗格中,以滑鼠右鍵按兩下 [系統對象:系統管理員群組成員所建立之物件的預設擁有者] 群組原則 設定,然後按兩下 [屬性]
  4. 在下拉式方塊中,按兩下 [物件建立者],然後按兩下 [ 確定]
  5. 您可能會在 Windows 安全性 消息框中收到警告。 閱讀警告,然後按兩下 [ 是]