win域环境下被组策略拒绝本地登录的解决方法docx.docx
《win域环境下被组策略拒绝本地登录的解决方法docx.docx》由会员分享,可在线阅读,更多相关《win域环境下被组策略拒绝本地登录的解决方法docx.docx(13页珍藏版)》请在冰豆网上搜索。
win域环境下被组策略拒绝本地登录的解决方法docx
在win2003的域环境下,组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题,使管理员的日常维护效率大大提高,但世间万物皆有利弊,同样人也一样会犯错误,在日常的维护工作中,由于管理员的疏忽操作导致的各种问题比比皆是。
下面我们就来讨论一种看似比较棘手的情况。
在win2003中,当某个域中的用户或本地用户被策略拒绝了本地登陆的权限,当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”,使得用户无法登陆本地计算机,同样也不能登陆域,通常遇到这种问题,我们的解决办法是,用管理员账号登陆域控制器,修改一下策略,把此用户从“拒绝本地登录”列表中删除即可,但如果由于人为的操作失误,管理员把所以用户的本地登陆权限都禁止了,导致了域中所有用户都不能本地登陆域内计算机(包括域管理员以及本地管理员),这种情况就比较棘手了,我们用什么方法能解决这看似不能解决的问题呢?
通过查询相关资料以及测试,我们知道所有策略的设置都保存在域控制器(DC)的windows文件夹下的sysvol文件夹下,以GUID为文件夹名,其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GUID\MACHINE\Microsoft\windowsNT\SecEdit\GptTmpl.inf这个文件中,这是一个文本文件,能通过记事本编辑,要解除对所有用户本地登录限制,我们只需修改这个文本文件,把拒绝登陆的相关信息删除就OK了,而在默认情况下,存放策略设置的sysvol这个文件夹在DC上是被共享的,那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹,远程修改GptTmpl.inf文件,从而解除本地登陆限制呢,下面我们就用虚拟机来做个实验,来模拟一下这样的网络环境,看看能不能达到我们预想的效果。
通过查询资料得知:
Ø默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
Ø默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9
实验的拓扑环境如下:
先部署一个域ADTEST.COM,用物理机做DNS,IP为192.168.11.1域中有两台计算机,Florence为DC,Berlin为加入域的一台成员服务器,Perth为一台工作站。
但Perth不能加入域,因为如果设置了禁止本地登陆,Perth加入域后也不能登陆,我们要用Perth远程登陆到DC来解决这个问题,所以Perth只需把IP设置为与DC同一个网段,DNS都指向192.168.11.1即可。
因本文主要讨论的是后期修改策略的操作,前期的准备工作我就简单介绍一下,就不贴图了哈~~
1创建DNS区域:
修改NS记录和SOA记录,IP地址都应解析为192.168.11.1
2在florence创建域控制器,记得要修改Florence网卡的TCP/IP属性,应该使用192.168.11.1作为自己的DNS服务器。
创建完毕后重启florence并用管理员账号登录到域。
3修改Berlin的IP地址以及DNS地址,把其加入到域中,使其成为域的一个成员服务器
好,至此前期的准备工作已经完成,我们首先在florence(DC)上打开ActiveDirectory用户和计算机,先创建一个用户user1
然后可以在DC和Berlin上用管理员和user1登陆试一下,可以看到现在登陆是没有问题的
下面我们来修改组策略,使所有用户都不能本地登陆,为了能的达到预期效果,我们需要把域策略和域控制器策略同时做禁止本地登陆的修改,因为如果只是域策略阻止,由于默认域控制器的策略上允许管理员登录,而域控制器是个OU,通过组策略的优先级我们知道,OU的优先级要高于域的优先级,所以管理员可以登录到DC上,把策略改回去。
而如果只是域控制器的策略阻止,它只对DC生效。
管理员可以在域内的其它计算机上登录到域,把策略改回去。
打开打开ActiveDirectory用户和计算机,首先设置域策略,操作如下图:
选组策略,点击编辑
修改以下位置,在拒绝本地登陆位置双击打开,默认是没有定义的,勾选“定义这些策略设置”,点击“添加用户或组”,因为domainuser组包含了域内的所有用户,所以我们只需添加这个组即可
确定后回到ActiveDirectory用户和计算机,用同样的方法在DomainDontrollers(域控制器)级别上设置同样的组策略。
完成后我们需要使设置马上生效,需刷新组策略,在DC和Berlin上用gpupdate/force命令刷新策略,完成后注销登陆,在DC和Berlin上用管理员和user1登陆,现在可以看到两台计算机都已经无法本地登陆了。
下面启动Perth把IP地址设置为与DC同一网段,DNS指向192.168.11.1,然后用PING命令测试一下域DC是否能联通。
测试没有问题后右键点击我的电脑,点击管理,打开计算机管理页面,右键点击计算机管理(本地)点击连接到另一台计算机,输入DC的IP地址后点确定
然后选择下图所示位置:
右键打开SYSVOL共享文件夹:
首先修改域控制器策略,依次打开以下路径\\192.168.11.101\sysvol\\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\WindowsNT\SecEdit,用记事本打开GptTmpl.inf文件,找到SeDenyInteractiveLogonRight字符串,这个字符串后面数字就是我们定义的禁止本地登陆的相关信息,我们直接把后面的内容删掉即可,最后别忘记保存。
域控制器策略修改完成后,我们还要修改域的策略,点击向上回到\\192.168.11.101\sysvol\\Policies\路径下,然后双击打开{31B2F340-016D-11D2-945F-00C04FB984F9}文件夹,上文提到过这个文件名默认是域策略的GUID,同样找到GptTmpl.inf文件,把最后的SeDenyInteractiveLogonRight后面的数值清除并保存,至此我们已经把域策略和域控制器策略全部修改完毕。
但策略生效需要刷新,可现在无法登陆不能刷新策略,所以我们只有通过telnet远程刷一下策略。
但默认情况下,telnet服务是被禁用的,需要远程把它启动,操作很简单,修改完策略后回到计算机管理页面,现在是连接到DC的状态,然后如下图所示,启动telnet服务即可
启动服务后,打开命令提示符,telnet到DC,用gpupdate/force刷新组策略
刷新完成后会提示刷新用户策略失败,这个是正常的,因为我们没有用任何用户的账号登入到系统,系统还处于挂起状态,而提示计算机策略刷新完成说明我们修改的组策略设置已经生效,然后我们重新用管理员账号和user1账号登陆DC和Berlin试一下,已经可以登陆了。
至此,大功告成!
问题成功解决!
除以上方法外,也可以使用C$共享远程访问DC来修改策略,(若C$共享默认没打开,可以用netshareC$=C:
开启),其解决办法的原理都一样,具体方法不再赘述,有兴趣的朋友可以自己试一下。
品味人生
1、很多时候,看的太透反而不快乐,还不如幼稚的没心没肺。
2、睡吧,合上双眼,世界就与我无关。
——顾城《生命幻想曲》
3、你来人间一趟,你要看看太阳,和你的心上人,一起走在街上。
4、我不唱声嘶力竭的情歌,不表示没有心碎的时刻。
我不曾摊开伤口任宰割,愈合就无人晓得我内心挫折。
5、永远不要隔着屏幕说分手,最大的遗憾是连离开都不能当面说清。
6、最先道歉的人最勇敢,最先原谅的人最坚强,最先释怀的人最幸福。
7、好像每次都是这样,没有例外。
在我们最需要有一个人去依靠的时候,往往到最后都是自己一个人挺过去。
8、对我不满意,请直接来给我说,别到别人那里去宣泄你无处安放的情绪。
9、有些事,你把它藏到心里,也许还更好,等时间长了,也就变成了故事。
10、不要对自己太过苛刻,对自己太苛刻的人只会消耗掉更多让自己幸福的能力。
11、人,相互帮扶才感到温暖;事,共同努力才知道简单;路,有人同行才不觉漫长;爱情,要相互记挂才体味情深。
12、只有当痛苦在可以承受的时候,我们会自怨自艾。
当痛苦无法承受,我们就只会一笑置之。
13、爱情是一颗心找到另一颗心,而不是一张脸找到另一张脸。
为了找到那颗心,我们要学会不要脸。
14、比失去你更令我伤心的事是,你都没有为了和我在一起而努力过。
15、这世上有一条路无论如何也不能走,那就是歧途,只要走错一步结果都会是粉身碎骨。
——《千与千寻》
16、保持一份自信,做最好的自己,宁可高傲地发霉,不要低调地恋爱。
17、亲爱的,我在这座陌生的城市,流浪流浪。
灯火阑珊或是烟火灿烂,我总是愣在某个角落,静静的等你走来。
18、其实爱情里处得好不好,标准就两个字:
不累。
因为,对的人,不会让你觉得累。
19、明知是错的,也要去坚持,因为不甘心;有些人,明知是爱的,也要去放弃,因为没结局;有时候,明知没路了,却还在前行,因为习惯了。
20、如果曾有那么一个人,跟我说只要心里想一想我,就会铺天盖地地难受。
那么不管是拿前程作赌也好,还是拿幸福下注也好,我都会心甘情愿。
做学问要花功夫,持之以恒,日积月累。
21、我们最大的弱点在于放弃。
成功的必然之路就是不断的重来一次。
——托马斯·爱迪生
22、点点滴滴的藏,集成了一大仓。
——德国谚语
23、成大事不在于力量的大小,而在于能坚持多久。
24、喷泉的高度不会超过它的源头;一个人的成就不会超过他的信念。
——美国
25、生活真象这杯浓酒,不经三番五次的提炼呵,就不会这样可口!
——郭小川
26、一个在奋斗途径上努力的人,要是不把步骤分清楚,等于你旅行一个地方,不先规定睡眠和行程一般。
分清步骤,是十分重要的。
——戴尔·卡耐基
升级会员 