《WIN2003 域环境下被组策略拒绝本地登录的解决方法.docx》由会员分享,可在线阅读,更多相关《WIN2003 域环境下被组策略拒绝本地登录的解决方法.docx(13页珍藏版)》请在三一办公上搜索。
1、在win2003的域环境下,组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题,使管理员的日常维护效率大大提高,但世间万物皆有利弊,同样人也一样会犯错误,在日常的维护工作中,由于管理员的疏忽操作导致的各种问题比比皆是。下面我们就来讨论一种看似比较棘手的情况。在win2003中,当某个域中的用户或本地用户被策略拒绝了本地登陆的权限,当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”,使得用户无法登陆本地计算机,同样也不能登陆域,通常遇到这种问题,我们的解决办法是,用管理员账号登陆域控制器,修改一下策略,把此用户从“拒绝本地登录”列表中删除
2、即可,但如果由于人为的操作失误,管理员把所以用户的本地登陆权限都禁止了,导致了域中所有用户都不能本地登陆域内计算机(包括域管理员以及本地管理员),这种情况就比较棘手了,我们用什么方法能解决这看似不能解决的问题呢?通过查询相关资料以及测试,我们知道所有策略的设置都保存在域控制器(DC)的windows文件夹下的sysvol文件夹下,以GUID为文件夹名,其中安全设置部分保存在DC的windowssysvolsysvol域名policies策略的GUIDMACHINEMicrosoftwindows NTSecEditGptTmpl.inf 这个文件中,这是一个文本文件,能通过记事本编辑,要解除对
3、所有用户本地登录限制,我们只需修改这个文本文件,把拒绝登陆的相关信息删除就OK了,而在默认情况下,存放策略设置的sysvol这个文件夹在DC上是被共享的,那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹,远程修改GptTmpl.inf文件,从而解除本地登陆限制呢,下面我们就用虚拟机来做个实验,来模拟一下这样的网络环境,看看能不能达到我们预想的效果。通过查询资料得知:默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9 默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9实验的拓扑环境
4、如下:先部署一个域ADTEST.COM ,用物理机做DNS,IP为192.168.11.1域中有两台计算机,Florence为DC,Berlin为加入域的一台成员服务器,Perth为一台工作站。但Perth不能加入域,因为如果设置了禁止本地登陆,Perth加入域后也不能登陆,我们要用Perth远程登陆到DC来解决这个问题,所以Perth只需把IP设置为与DC同一个网段,DNS都指向192.168.11.1即可。因本文主要讨论的是后期修改策略的操作,前期的准备工作我就简单介绍一下,就不贴图了哈1 创建DNS区域: 修改NS记录和SOA记录,IP地址都应解析为192.168.11.12 在flor
5、ence创建域控制器,记得要修改Florence网卡的TCP/IP属性,应该使用192.168.11.1作为自己的DNS服务器。创建完毕后重启florence并用管理员账号登录到域。3 修改Berlin 的IP地址以及DNS地址,把其加入到域中,使其成为域的一个成员服务器 好,至此前期的准备工作已经完成,我们首先在florence(DC)上打开Active Directory用户和计算机,先创建一个用户user1 然后可以在DC和Berlin上用管理员和user1登陆试一下,可以看到现在登陆是没有问题的下面我们来修改组策略,使所有用户都不能本地登陆,为了能的达到预期效果,我们需要把域策略和域控
6、制器策略同时做禁止本地登陆的修改,因为如果只是域策略阻止,由于默认域控制器的策略上允许管理员登录,而域控制器是个OU,通过组策略的优先级我们知道,OU的优先级要高于域的优先级,所以管理员可以登录到DC上,把策略改回去。而如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。打开打开Active Directory用户和计算机,首先设置域策略,操作如下图:选组策略,点击编辑修改以下位置,在拒绝本地登陆位置双击打开,默认是没有定义的,勾选“定义这些策略设置”,点击“添加用户或组”,因为domain user 组包含了域内的所有用户,所以我们只需添加这个组
7、即可 确定后回到Active Directory用户和计算机,用同样的方法在Domain Dontrollers(域控制器)级别上设置同样的组策略。完成后我们需要使设置马上生效,需刷新组策略,在DC和Berlin上用gpupdate /force命令刷新策略,完成后注销登陆,在DC和Berlin上用管理员和user1登陆,现在可以看到两台计算机都已经无法本地登陆了。下面启动Perth 把IP地址设置为与DC同一网段,DNS指向192.168.11.1,然后用PING命令测试一下域DC是否能联通。 测试没有问题后右键点击我的电脑,点击管理,打开计算机管理页面,右键点击计算机管理(本地)点击连接到
8、另一台计算机,输入DC的IP地址后点确定然后选择下图所示位置:右键打开SYSVOL 共享文件夹:首先修改域控制器策略,依次打开以下路径192.168.11.101sysvolPolicies6AC1786C-016F-11D2-945F-00C04fB984F9MACHINEMicrosoftWindows NTSecEdit,用记事本打开GptTmpl.inf文件,找到SeDenyInteractiveLogonRight字符串,这个字符串后面数字就是我们定义的禁止本地登陆的相关信息,我们直接把后面的内容删掉即可,最后别忘记保存。域控制器策略修改完成后,我们还要修改域的策略,点击向上回到19
9、2.168.11.101sysvolPolicies路径下,然后双击打开31B2F340-016D-11D2-945F-00C04FB984F9文件夹,上文提到过这个文件名默认是域策略的GUID,同样找到GptTmpl.inf文件,把最后的SeDenyInteractiveLogonRight后面的数值清除并保存,至此我们已经把域策略和域控制器策略全部修改完毕。但策略生效需要刷新,可现在无法登陆不能刷新策略,所以我们只有通过telnet远程刷一下策略。但默认情况下,telnet服务是被禁用的,需要远程把它启动,操作很简单,修改完策略后回到计算机管理页面,现在是连接到DC的状态,然后如下图所示,启动telnet服务即可启动服务后,打开命令提示符,telnet到DC,用gpupdate /force刷新组策略 刷新完成后会提示刷新用户策略失败,这个是正常的,因为我们没有用任何用户的账号登入到系统,系统还处于挂起状态,而提示计算机策略刷新完成说明我们修改的组策略设置已经生效,然后我们重新用管理员账号和user1账号登陆DC和Berlin试一下,已经可以登陆了。 至此,大功告成!问题成功解决!除以上方法外,也可以使用C$ 共享远程访问DC来修改策略,(若C$共享默认没打开,可以用net share C$=C: 开启),其解决办法的原理都一样,具体方法不再赘述,有兴趣的朋友可以自己试一下。
