组策略设置在安全策略设置列表中不可用

09/14/2020

本文内容

本文介绍一个问题，在安全策略设置列表中，"系统对象： 管理员组 的成员创建的对象的默认所有者"组策略设置不可用。

适用于：  Windows Server 2012R2

原始 KB 编号：  947721

症状

当您尝试在运行 Windows Vista 或更高版本的计算机上访问"系统对象： 管理员组 的成员创建的对象的默认所有者"组策略设置时，该设置在安全策略设置列表中不可用。

当安全组策略中出现该设置时，Vista 和较新的域Windows将忽略此设置。

原因

WindowsVista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 不再支持此设置。 启用后，用户帐户控制 (UAC) 将确保用户帐户用作本地创建的所有对象的所有者。 对于远程访问，管理员的组将用于网络会话没有受限令牌。

由于删除了对设置的支持，系统安全策略"系统对象：由 管理员组 的成员创建的对象的默认所有者"设置在安全模板用户界面中不再可用。

解决方案

可以将"系统对象：由安全模板"组策略管理员组创建的对象的默认所有者"添加到安全模板用户界面。

提示：此过程不会使 Vista Windows较新的 Vista 和更高版本像 Windows XP 和 Windows Server 2003 一样遵守该设置。

若要为运行 Windows XP 或 Windows Server 2003 的一些计算机创建此组策略设置，请对运行 Windows Server 2008 的计算机执行以下步骤：

以本地管理员登录以配置组策略设置。

创建 c：\windows\inf\Sceregvl.inf 文件的备份副本。

获取此文件的所有权，并授予管理员组完全访问权限。 为此，请按照下列步骤操作：

备注

此文件归 TrustedInstaller 组所有。 因此，管理员只有只读访问权限。

右键单击 c：\windows\inf\Sceregvl.inf 文件，然后单击"属性 "。

单击“安全”选项卡。

单击“高级”。

单击" 所有者" 选项卡。

单击 “编辑”。

在 "将所有者更改为"下，单击 "管理员" 组，然后单击"确定 "。

单击“确定”三次。

若要向管理员组授予对文件的完全访问权限，请按照以下步骤操作。

备注

为用户授予管理员组访问权限后，可以编辑和保存对文件所做的更改。

右键单击 c：\windows\inf\Sceregvl.inf 文件，然后单击"属性 "。

单击“安全性”选项卡。

单击“编辑”。

在 "组或用户名"下，单击 "管理员" 组。

在 "管理员权限"下，单击以选中"完全控制"的"允许"复选框，然后单击"确定 "。

单击 "确定 "关闭 "Sceregvl.inf 属性" 对话框。

打开并编辑 c：\windows\inf\Sceregvl.inf 文件，记事本。

复制应全部在一行中的以下文本：

MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nodefaultadminowner，3，"System objects： Default owner for objects created by the members of the 管理员组"，3，0|管理员组，1|对象创建者

将文本粘贴到文件的以下行之后： (MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy，4，%SCENoAp plyLegacyAuditPolicy%0)

保存对文件所做的更改，然后退出记事本。

将 c：\windows\inf\Sceregvl.inf 文件的文件所有权和权限重置回默认设置。 为此，请按照下列步骤操作：

右键单击 c：\windows\inf\Sceregvl.inf 文件，然后单击"属性 "。

单击“安全”选项卡。

单击“高级”。

单击" 所有者" 选项卡。

单击 “编辑”。

单击 "其他用户或组"。

单击 "位置"。

在 "位置" 下，单击本地计算机名称，然后单击"确定 "。

在 "选择用户或组"窗口中，在"输入要选择的对象名称"下键入NT SERVICE\TrustedInstaller，然后单击"确定 "。

在 "Sceregvl.inf 设置高级安全中心"窗口中，单击"将所有者更改为"下的 TrustedInstaller 帐户，然后单击"确定 "。

单击“确定”三次。

将 c：\windows\inf\Sceregvl.inf 管理员组重置为仅 Read & execute 和 Read。 为此，请按照下列步骤操作：

右键单击 c：\windows\inf\Sceregvl.inf 文件，然后单击"属性 "。

单击“安全性”选项卡。

单击“编辑”。

在 "组或用户名"下，单击 "管理员" 组。

在 "管理员权限" 下，单击以清除除"执行读取 &" 复选框和"读取"复选框之外的所有复选框，然后单击"确定 "。

单击 "确定 "关闭 "Sceregvl.inf 属性" 对话框。

重新注册组策略策略文件客户端Scecli.dll扩展。 为此，请打开提升的命令提示符，键入以下命令，然后按 Enter：REGSVR32 scecli.dll单击 "确定"。

若要应用"本地安全策略"设置中的"系统对象：由 管理员组 成员创建的对象的默认所有者"组策略设置，请按照以下步骤操作。

备注

如果计算机是域控制器，请使用"域控制器安全策略"管理单元。

单击 "开始"，单击"控制面板"，单击 "管理工具"，然后单击"本地安全策略"。

移动到安全策略设置\本地策略\安全选项位置。

在窗口的右窗格中，右键单击"系统对象：由 管理员组 的成员创建的对象的默认所有者"组策略设置，然后单击"属性 "。

在下拉框中，单击对象 创建者， 然后单击确定。

You may receive a warning in a Windows 安全中心 message box. 阅读警告，然后单击"是 "。