"安全策略设置" 列表中没有 "组策略" 设置

本文介绍了 "系统对象: Administrators 组成员创建的对象的默认所有者" 组策略设置在安全策略设置列表中不可用的问题。

原始产品版本:  Windows Server 2012 R2
原始 KB 数:  947721

症状

当您尝试访问运行 Windows Vista 或更高版本的计算机上的 "系统对象:由 Administrators 组的成员创建的对象的默认所有者" 组策略设置时,此设置在安全策略设置列表中不可用。

如果安全组策略中存在该设置,则它将被 Windows Vista 和较新的域成员忽略。

原因

Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 不会再支持此设置。 启用后,用户帐户控制 (UAC) 将确保将用户帐户用作在本地创建的所有对象的所有者。 对于远程访问,将使用管理员组,网络会话没有受限制的令牌。

由于已删除对设置的支持,系统安全策略 "系统对象: Administrators 组成员创建的对象的默认所有者" 设置在安全模板用户界面中不再可用。

解决方案

您可以将 "系统对象: Administrators 组成员创建的对象的默认所有者" 组策略设置添加到安全模板用户界面中。

提示:此过程不会使 Windows Vista 和更新版本遵循 Windows XP 和 Windows Server 2003 的设置。

若要能够为运行 Windows XP 或 Windows Server 2003 的一些计算机创建此组策略设置,请在运行 Windows Server 2008 的计算机上执行以下步骤:

  1. 以本地管理员身份登录以配置组策略设置。

  2. 创建 c:\windows\inf\Sceregvl.inf 文件的备份副本。

  3. 取得此文件的所有权并授予管理员组 "完全访问" 用户权限。 为此,请按照下列步骤操作:

    备注

    此文件由 TrustedInstaller 组拥有。 因此,管理员仅具有只读访问用户权限。

    1. 右键单击 c:\windows\inf\Sceregvl.inf 文件,然后单击 " 属性"。
    2. 单击“安全”选项卡。****
    3. 单击“高级”。
    4. 单击 " 所有者 " 选项卡。
    5. 单击 “编辑”
    6. 在 " 将所有者更改为" 下,单击 " 管理员 " 组,然后单击 "确定"
    7. 单击“确定”**** 三次。
  4. 若要向管理员组授予对文件的完全访问权限,请执行以下步骤。

    备注

    授予管理员组 "完全访问" 用户权限后,可以编辑并保存对该文件所做的更改。

    1. 右键单击 c:\windows\inf\Sceregvl.inf 文件,然后单击 " 属性"。
    2. 单击“安全性”**** 选项卡。
    3. 单击“编辑”****。
    4. 在 " 组或用户名称" 下,单击 " 管理员 " 组。
    5. "管理员的权限" 下,单击以选中 "允许****完全控制" 复选框,然后单击 "确定"
    6. 单击 "确定" 以关闭 " Sceregvl 属性 " 对话框。
  5. 使用记事本打开和编辑 c:\windows\inf\Sceregvl.inf 文件。

  6. 复制以下应在一行中的文本:

    MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nodefaultadminowner,3,"系统对象: Administrators 组成员创建的对象的默认所有者",3,0 |Administrators 组,1 |对象创建程序

  7. 将文本粘贴到文件中的以下行之后: (MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy、4、% SCENoAp plyLegacyAuditPolicy%、0)

  8. 保存对文件所做的更改,然后退出记事本。

  9. 将 c:\windows\inf\Sceregvl.inf 文件的文件所有权和权限重置回默认设置。 为此,请按照下列步骤操作:

    1. 右键单击 c:\windows\inf\Sceregvl.inf 文件,然后单击 " 属性"。
    2. 单击“安全”选项卡。****
    3. 单击“高级”。
    4. 单击 " 所有者 " 选项卡。
    5. 单击 “编辑”
    6. 单击 " 其他用户或组"。
    7. 单击 " 位置"。
    8. 在 " 位置" 下,单击 "本地计算机名称",然后单击 "确定"
    9. 在 " 选择用户或组 " 窗口中,在 " 输入要选择的对象名称" 下键入 "NT SERVICE\TrustedInstaller",然后单击 "确定"
    10. 在 " Sceregvl 的高级安全设置" 窗口中,单击 "将所有者更改为" 下的TrustedInstaller帐户,然后单击 "确定"
    11. 单击“确定”**** 三次。
  10. 将 c:\windows\inf\Sceregvl.inf 文件的 Administrators 组访问权限重置回仅 读取 & 执行读取。 为此,请按照下列步骤操作:

    1. 右键单击 c:\windows\inf\Sceregvl.inf 文件,然后单击 " 属性"。
    2. 单击“安全性”**** 选项卡。
    3. 单击“编辑”****。
    4. 在 " 组或用户名称" 下,单击 " 管理员 " 组。
    5. 在 " 管理员的权限" 下,单击以清除 " 读取 & 执行 " 复选框和 " 读取 " 复选框除外的所有复选框,然后单击 "确定"
    6. 单击 "确定" 以关闭 " Sceregvl 属性 " 对话框。
  11. 重新注册组策略 Scecli.dll 文件的客户端扩展。 若要执行此操作,请打开提升的命令提示符,键入以下命令,然后按 ENTER: REGSVR32 scecli.dll 单击 "确定"

  12. 若要应用本地安全策略设置中的 "系统对象: Administrators 组成员创建的对象的默认所有者" 组策略设置,请按照以下步骤操作。

备注

如果计算机是域控制器,请使用 "域控制器安全策略" 管理单元。

  1. 依次单击 " 开始"、" 控制面板"、" 管理工具" 和 " 本地安全策略"。
  2. 移动到 "安全 \ 本地策略 \ 安全选项" 位置。
  3. 在窗口的右窗格中,右键单击 "系统对象:由 Administrators 组成员创建的对象的默认所有者" 组策略设置,然后单击 " 属性"。
  4. 在下拉框中,单击 " 对象创建者",然后单击 "确定"
  5. 您可能会在 Windows 安全 消息框中收到警告。 阅读警告,然后单击 "是"