WIN2003 域环境下被组策略拒绝本地登录的解决方法
2009-01-15 21:16
281 查看
[align=center]在win2003的域环境下,组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题,使管理员的日常维护效率大大提高,但世间万物皆有利弊,同样人也一样会犯错误,在日常的维护工作中,由于管理员的疏忽操作导致的各种问题比比皆是。下面我们就来讨论一种看似比较棘手的情况。[/align]
在win2003中,当某个域中的用户或本地用户被策略拒绝了本地登陆的权限,当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”,使得用户无法登陆本地计算机,同样也不能登陆域,通常遇到这种问题,我们的解决办法是,用管理员账号登陆域控制器,修改一下策略,把此用户从“拒绝本地登录”列表中删除即可,但如果由于人为的操作失误,管理员把所以用户的本地登陆权限都禁止了,导致了域中所有用户都不能本地登陆域内计算机(包括域管理员以及本地管理员),这种情况就比较棘手了,我们用什么方法能解决这看似不能解决的问题呢?
通过查询相关资料以及测试,我们知道所有策略的设置都保存在域控制器(DC)的windows文件夹下的sysvol文件夹下,以GUID为文件夹名,其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GUID\MACHINE\Microsoft\windows NT\SecEdit\GptTmpl.inf 这个文件中,这是一个文本文件,能通过记事本编辑,要解除对所有用户本地登录限制,我们只需修改这个文本文件,把拒绝登陆的相关信息删除就OK了,而在默认情况下,存放策略设置的sysvol这个文件夹在DC上是被共享的,那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹,远程修改GptTmpl.inf文件,从而解除本地登陆限制呢,下面我们就用虚拟机来做个实验,来模拟一下这样的网络环境,看看能不能达到我们预想的效果。
通过查询资料得知:
Ø默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9 [/b]
Ø默认域控制器的策略的GUID为6AC[/b]1786C[/b]-016F[/b]-11D2-945F-00C04FB984F9[/b]
实验的拓扑环境如下:先部署一个域ADTEST.COM ,用物理机做DNS,IP为192.168.11.1域中有两台计算机,Florence为DC,Berlin为加入域的一台成员服务器,Perth为一台工作站。但Perth不能加入域,因为如果设置了禁止本地登陆,Perth加入域后也不能登陆,我们要用Perth远程登陆到DC来解决这个问题,所以Perth只需把IP设置为与DC同一个网段,DNS都指向192.168.11.1即可。
因本文主要讨论的是后期修改策略的操作,前期的准备工作我就简单介绍一下,就不贴图了哈~~
1 创建DNS区域:adtest.com 修改NS记录和SOA记录,IP地址都应解析为192.168.11.1
2 在florence创建域控制器,记得要修改Florence网卡的TCP/IP属性,应该使用192.168.11.1作为自己的DNS服务器。创建完毕后重启florence并用管理员账号登录到adtest.com域。
3 修改Berlin 的IP地址以及DNS地址,把其加入到adtest.com域中,使其成为域的一个成员服务器
好,至此前期的准备工作已经完成,我们首先在florence(DC)上打开Active Directory用户和计算机,先创建一个用户user1
然后可以在DC和Berlin上用管理员和user1登陆试一下,可以看到现在登陆是没有问题的
下面我们来修改组策略,使所有用户都不能本地登陆,为了能的达到预期效果,我们需要把域策略和域控制器策略同时做禁止本地登陆的修改,因为如果只是域策略阻止,由于默认域控制器的策略上允许管理员登录,而域控制器是个OU,通过组策略的优先级我们知道,OU的优先级要高于域的优先级,所以管理员可以登录到DC上,把策略改回去。而如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。
打开打开Active Directory用户和计算机,首先设置域策略,操作如下图:
选组策略,点击编辑
修改以下位置,在拒绝本地登陆位置双击打开,默认是没有定义的,勾选“定义这些策略设置”,点击“添加用户或组”,因为domain user 组包含了域内的所有用户,所以我们只需添加这个组即可
确定后回到Active Directory用户和计算机,用同样的方法在Domain Dontrollers(域控制器)级别上设置同样的组策略。完成后我们需要使设置马上生效,需刷新组策略,在DC和Berlin上用gpupdate /force命令刷新策略,完成后注销登陆,在DC和Berlin上用管理员和user1登陆,现在可以看到两台计算机都已经无法本地登陆了。
[align=center] [/align]
[align=center][/align]
[align=left] 下面启动Perth 把IP地址设置为与DC同一网段,DNS指向192.168.11.1,然后用PING命令测试一下域DC是否能联通。[/align]
测试没有问题后右键点击我的电脑,点击管理,打开计算机管理页面,右键点击计算机管理(本地)点击连接到另一台计算机,输入DC的IP地址后点确定
[align=center][/align]
然后选择下图所示位置:
右键打开SYSVOL 共享文件夹:首先修改域控制器策略,依次打开以下路径\\192.168.11.101\sysvol\adtest.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit,用记事本打开GptTmpl.inf文件,找到SeDenyInteractiveLogonRight字符串,这个字符串后面数字就是我们定义的禁止本地登陆的相关信息,我们直接把后面的内容删掉即可,最后别忘记保存。
域控制器策略修改完成后,我们还要修改域的策略,点击向上回到\\192.168.11.101\sysvol\adtest.com\Policies\路径下,然后双击打开{31B2F340-016D-11D2-945F-00C04FB984F9}文件夹,上文提到过这个文件名默认是域策略的GUID,同样找到GptTmpl.inf文件,把最后的SeDenyInteractiveLogonRight后面的数值清除并保存,至此我们已经把域策略和域控制器策略全部修改完毕。
但策略生效需要刷新,可现在无法登陆不能刷新策略,所以我们只有通过telnet远程刷一下策略。但默认情况下,telnet服务是被禁用的,需要远程把它启动,操作很简单,修改完策略后回到计算机管理页面,现在是连接到DC的状态,然后如下图所示,启动telnet服务即可
[align=center][/align]
启动服务后,打开命令提示符,telnet到DC,用gpupdate /force刷新组策略
[align=center][/align]
刷新完成后会提示刷新用户策略失败,这个是正常的,因为我们没有用任何用户的账号登入到系统,系统还处于挂起状态,而提示计算机策略刷新完成说明我们修改的组策略设置已经生效,然后我们重新用管理员账号和user1账号登陆DC和Berlin试一下,已经可以登陆了。
至此,大功告成!问题成功解决!
除以上方法外,也可以使用C$ 共享远程访问DC来修改策略,(若C$共享默认没打开,可以用net share C$=C: 开启),其解决办法的原理都一样,具体方法不再赘述,有兴趣的朋友可以自己试一下。
在win2003中,当某个域中的用户或本地用户被策略拒绝了本地登陆的权限,当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”,使得用户无法登陆本地计算机,同样也不能登陆域,通常遇到这种问题,我们的解决办法是,用管理员账号登陆域控制器,修改一下策略,把此用户从“拒绝本地登录”列表中删除即可,但如果由于人为的操作失误,管理员把所以用户的本地登陆权限都禁止了,导致了域中所有用户都不能本地登陆域内计算机(包括域管理员以及本地管理员),这种情况就比较棘手了,我们用什么方法能解决这看似不能解决的问题呢?
通过查询相关资料以及测试,我们知道所有策略的设置都保存在域控制器(DC)的windows文件夹下的sysvol文件夹下,以GUID为文件夹名,其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GUID\MACHINE\Microsoft\windows NT\SecEdit\GptTmpl.inf 这个文件中,这是一个文本文件,能通过记事本编辑,要解除对所有用户本地登录限制,我们只需修改这个文本文件,把拒绝登陆的相关信息删除就OK了,而在默认情况下,存放策略设置的sysvol这个文件夹在DC上是被共享的,那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹,远程修改GptTmpl.inf文件,从而解除本地登陆限制呢,下面我们就用虚拟机来做个实验,来模拟一下这样的网络环境,看看能不能达到我们预想的效果。
通过查询资料得知:
Ø默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9 [/b]
Ø默认域控制器的策略的GUID为6AC[/b]1786C[/b]-016F[/b]-11D2-945F-00C04FB984F9[/b]
实验的拓扑环境如下:先部署一个域ADTEST.COM ,用物理机做DNS,IP为192.168.11.1域中有两台计算机,Florence为DC,Berlin为加入域的一台成员服务器,Perth为一台工作站。但Perth不能加入域,因为如果设置了禁止本地登陆,Perth加入域后也不能登陆,我们要用Perth远程登陆到DC来解决这个问题,所以Perth只需把IP设置为与DC同一个网段,DNS都指向192.168.11.1即可。
因本文主要讨论的是后期修改策略的操作,前期的准备工作我就简单介绍一下,就不贴图了哈~~
1 创建DNS区域:adtest.com 修改NS记录和SOA记录,IP地址都应解析为192.168.11.1
2 在florence创建域控制器,记得要修改Florence网卡的TCP/IP属性,应该使用192.168.11.1作为自己的DNS服务器。创建完毕后重启florence并用管理员账号登录到adtest.com域。
3 修改Berlin 的IP地址以及DNS地址,把其加入到adtest.com域中,使其成为域的一个成员服务器
好,至此前期的准备工作已经完成,我们首先在florence(DC)上打开Active Directory用户和计算机,先创建一个用户user1
然后可以在DC和Berlin上用管理员和user1登陆试一下,可以看到现在登陆是没有问题的
下面我们来修改组策略,使所有用户都不能本地登陆,为了能的达到预期效果,我们需要把域策略和域控制器策略同时做禁止本地登陆的修改,因为如果只是域策略阻止,由于默认域控制器的策略上允许管理员登录,而域控制器是个OU,通过组策略的优先级我们知道,OU的优先级要高于域的优先级,所以管理员可以登录到DC上,把策略改回去。而如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。
打开打开Active Directory用户和计算机,首先设置域策略,操作如下图:
选组策略,点击编辑
修改以下位置,在拒绝本地登陆位置双击打开,默认是没有定义的,勾选“定义这些策略设置”,点击“添加用户或组”,因为domain user 组包含了域内的所有用户,所以我们只需添加这个组即可
确定后回到Active Directory用户和计算机,用同样的方法在Domain Dontrollers(域控制器)级别上设置同样的组策略。完成后我们需要使设置马上生效,需刷新组策略,在DC和Berlin上用gpupdate /force命令刷新策略,完成后注销登陆,在DC和Berlin上用管理员和user1登陆,现在可以看到两台计算机都已经无法本地登陆了。
[align=center] [/align]
[align=center][/align]
[align=left] 下面启动Perth 把IP地址设置为与DC同一网段,DNS指向192.168.11.1,然后用PING命令测试一下域DC是否能联通。[/align]
测试没有问题后右键点击我的电脑,点击管理,打开计算机管理页面,右键点击计算机管理(本地)点击连接到另一台计算机,输入DC的IP地址后点确定
[align=center][/align]
然后选择下图所示位置:
右键打开SYSVOL 共享文件夹:首先修改域控制器策略,依次打开以下路径\\192.168.11.101\sysvol\adtest.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit,用记事本打开GptTmpl.inf文件,找到SeDenyInteractiveLogonRight字符串,这个字符串后面数字就是我们定义的禁止本地登陆的相关信息,我们直接把后面的内容删掉即可,最后别忘记保存。
域控制器策略修改完成后,我们还要修改域的策略,点击向上回到\\192.168.11.101\sysvol\adtest.com\Policies\路径下,然后双击打开{31B2F340-016D-11D2-945F-00C04FB984F9}文件夹,上文提到过这个文件名默认是域策略的GUID,同样找到GptTmpl.inf文件,把最后的SeDenyInteractiveLogonRight后面的数值清除并保存,至此我们已经把域策略和域控制器策略全部修改完毕。
但策略生效需要刷新,可现在无法登陆不能刷新策略,所以我们只有通过telnet远程刷一下策略。但默认情况下,telnet服务是被禁用的,需要远程把它启动,操作很简单,修改完策略后回到计算机管理页面,现在是连接到DC的状态,然后如下图所示,启动telnet服务即可
[align=center][/align]
启动服务后,打开命令提示符,telnet到DC,用gpupdate /force刷新组策略
[align=center][/align]
刷新完成后会提示刷新用户策略失败,这个是正常的,因为我们没有用任何用户的账号登入到系统,系统还处于挂起状态,而提示计算机策略刷新完成说明我们修改的组策略设置已经生效,然后我们重新用管理员账号和user1账号登陆DC和Berlin试一下,已经可以登陆了。
至此,大功告成!问题成功解决!
除以上方法外,也可以使用C$ 共享远程访问DC来修改策略,(若C$共享默认没打开,可以用net share C$=C: 开启),其解决办法的原理都一样,具体方法不再赘述,有兴趣的朋友可以自己试一下。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 此系统的本地策略不允许您采用交互式登录解决方法
- AD域服务器登录时提示“此系统的本地策略不允许您采用交互式登录"的解决方法(很简单的)
- AD域服务器登录时提示“此系统的本地策略不允许您采用交互式登录"的解决方法(很简单的) .
- 此系统的本地策略不允许您采用交互式登录解决方法
- Ubuntu设置环境变量错误导致系统无法登录解决方法 [转]
- 本地策略提示不能确定应用到此机器的组策略安全性设置的解决方法
- MySQL普通用户无法本地登录的解决方法及MySQL的用户认证算法
- 几种访问其他域swf文件,或本地浏览器运行环境【安全沙箱】冲突解决方法
- oracle服务器本地能够登录但是局域网内其他机器不能访问的解决方法
- Ubuntu设置环境变量错误导致系统无法登录解决方法
- MySQL密码正确却无法本地登录的解决方法
- 解决 GTK+/GNOME 3 环境下 Java Swing 程序使用本地 GTK+ 主题时菜单无边框 bug 的方法
- ubuntu环境下修改环境变量导致系统无法登录的解决方法
- Ubuntu设置环境变量错误导致系统无法登录解决方法
- 本地环境PHP5.5版本帝国备份王备份报错的解决方法
- Ubuntu设置环境变量错误导致系统无法登录解决方法
- HTTP 错误 403.1 - 禁止访问:执行访问被拒绝"解决方法(Xp和Win2003
- 被域策略拒绝本地登录
- 【Vegas原创】本地sys登录,ORA-01031: insufficient privileges的解决方法
- windows server 2008 R2 AD 域之---系统提示:此系统的本地策略不允许您采用交互式登陆解决方法