「安全性原則設定」清單中無法使用「群組原則」設定

本文說明「安全性原則設定」清單中的「系統物件:管理員群組成員所建立之物件的預設擁有者」群組原則設定的問題。

原始產品版本:  Windows Server 2012 R2
原始 KB 編號:  947721

徵狀

當您嘗試在執行 Windows Vista 或更新版本的電腦上,存取「系統物件:管理員群組的成員所建立的物件的預設擁有者」群組原則設定時,[安全性原則設定] 清單中便無法使用此設定。

當您的安全性群組原則中顯示此設定時,它會被 Windows Vista 和更新的網域成員忽略。

原因

Windows Vista、Windows 7、Windows Server 2008 及 Windows Server 2008 R2 不再支援此設定。 啟用時,使用者帳戶控制 (UAC) 會確保使用者帳戶使用為本機建立之所有物件的擁有者。 若為遠端存取,系統會使用管理員群組,而不會限制網路會話的權杖。

因為已移除對設定的支援,所以安全性範本使用者介面中不再提供系統安全性原則「系統物件:管理員群組的成員所建立之物件的預設擁有者」設定。

解決方案

您可以將「系統物件:管理員群組成員所建立之物件的預設擁有者」新增至安全性範本使用者介面的「群組原則設定」。

暗示:此程式不會讓 Windows Vista 和更新版本遵循 Windows XP 及 Windows Server 2003 的設定。

若要能夠為執行 Windows XP 或 Windows Server 2003 的某些電腦建立此群組原則設定,請在執行 Windows Server 2008 的電腦上執行下列步驟:

  1. 以本機系統管理員身分登入,以設定「群組原則」設定。

  2. 建立 c:\windows\inf\Sceregvl.inf 檔案的備份副本。

  3. 取得此檔案的擁有權並授與系統管理員群組「完整存取」使用者權限。 若要執行此動作,請依照下列步驟執行:

    注意

    此檔案歸 TrustedInstaller 群組所有。 因此,系統管理員只具有唯讀的 access 使用者權限。

    1. 以滑鼠右鍵按一下 c:\windows\inf\Sceregvl.inf 檔案,然後按一下 [ 屬性]。
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [進階]
    4. 按一下 [ 擁有 者] 索引標籤。
    5. 按一下 [編輯]。
    6. 在 [ 變更擁有 者] 底下,按一下 [ 管理員 ] 群組,然後按一下 [確定]
    7. 按三次 [確定]
  4. 若要將檔案的「完整存取」使用者權利授與系統管理員群組,請遵循下列步驟。

    注意

    在您授與系統管理員群組的「完整存取」使用者權限之後,您可以編輯及儲存對該檔案所做的變更。

    1. 以滑鼠右鍵按一下 c:\windows\inf\Sceregvl.inf 檔案,然後按一下 [ 屬性]。
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [編輯]。
    4. 在 [ 群組或使用者名稱] 底下,按一下 [ 管理員 ] 群組。
    5. 在 [管理員的許可權] 底下,按一下以選取 [完全控制] 的 [允許] 核取方塊,然後按一下 [確定]
    6. 按一下 [確定 ] 關閉 [ Sceregvl 屬性 ] 對話方塊。
  5. 使用 [記事本] 開啟及編輯 c:\windows\inf\Sceregvl.inf 檔案。

  6. 複製下列所有應該在一行中的文字:

    MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nodefaultadminowner,3,「系統物件: Administrators 群組成員所建立之物件的預設擁有者」,3,0 |Administrators 群組,1 |物件建立者

  7. 在檔案中的下列行之後貼上文字: (MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy、4、% SCENoAp plyLegacyAuditPolicy%、0)

  8. 將變更儲存至檔案,然後結束 [記事本]。

  9. 將 c:\windows\inf\Sceregvl.inf 檔案的檔案擁有權和許可權重設回預設設定。 若要執行此動作,請依照下列步驟執行:

    1. 以滑鼠右鍵按一下 c:\windows\inf\Sceregvl.inf 檔案,然後按一下 [ 屬性]。
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [進階]
    4. 按一下 [ 擁有 者] 索引標籤。
    5. 按一下 [編輯]。
    6. 按一下 [ 其他使用者或群組]。
    7. 按一下 [ 位置]。
    8. 在 [ 位置] 下,按一下您的本機電腦名稱稱,然後按一下 [確定]
    9. 在 [ 選取使用者或群組 ] 視窗中,在 [ 輸入要選取的物件名稱] 底下輸入 NT SERVICE\TrustedInstaller,然後按一下 [確定]
    10. 在 [ Sceregvl 的高級安全性設定] 視窗中,按一下 [擁有者變更] 底下的 TrustedInstaller 帳戶,然後按一下 [確定]
    11. 按三次 [確定]
  10. 將 c:\windows\inf\Sceregvl.inf 檔案的系統管理員群組存取許可權重設回只 讀取 & 執行讀取。 若要執行此動作,請依照下列步驟執行:

    1. 以滑鼠右鍵按一下 c:\windows\inf\Sceregvl.inf 檔案,然後按一下 [ 屬性]。
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [編輯]。
    4. 在 [ 群組或使用者名稱] 底下,按一下 [ 管理員 ] 群組。
    5. 在 [ 管理員的許可權] 底下,按一下以清除 [ 讀取 & 執行 ] 核取方塊與 [ 讀取 ] 核取方塊以外的所有核取方塊,然後按一下 [確定]
    6. 按一下 [確定 ] 關閉 [ Sceregvl 屬性 ] 對話方塊。
  11. 重新註冊群組原則 Scecli.dll 檔案的用戶端分機。 若要這麼做,請開啟提升許可權的命令提示字元,輸入下列命令,然後按 ENTER: REGSVR32 scecli.dll 按一下 [確定]

  12. 若要針對本機安全性原則設定中的 Administrators 群組成員所建立的物件,套用「系統物件:預設擁有者」群組原則設定,請遵循下列步驟。

注意

如果電腦是網域控制站,請使用「網域控制站安全性原則」嵌入式管理單元。

  1. 按一下 [ 開始],按一下 [ 控制台],按一下 [系統 管理工具],然後按一下 [ 本機安全性原則]。
  2. 移至 [安全性 \ 安全 \ 安全 \ 安全保護選項] 位置。
  3. 在視窗的右窗格中,以滑鼠右鍵按一下 [系統物件:管理員群組成員建立的物件的預設擁有者] 群組原則設定,然後按一下 [ 屬性]。
  4. 在下拉式方塊中,按一下 [ 物件建立者],然後按一下 [確定]
  5. 您可能會在 Windows 安全性 訊息方塊中收到警告。 閱讀警告,然後按一下 [是]