|
Q在(也仅是)中由于禁止本地登录权利而导致的所有用户管理员无法登录 在安全策略/本地策略/用户权利分配下有两条策略 拒绝本地登录默认为未定义 允许在本地登录其默认值分别为 本地计算机策略AdministratorsBackup OperatorsPower UsersUsers 默认域的策略未定义 默认域控制器的策略AdministratorsAccount OperatorsBackup OperatorsServer OperatorsPrint OperatorsIUSR_dcname 说明如果在同一级别上对同一对象(用户或组)同时设置了允许和拒绝拒绝权利的优先级别高也就是说二者沖突时拒绝权利生效 假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员又或者在允许登录上把管理员给删掉了不论哪一种情况都会导致管理员无法登录出错提示为此系统的本地策略不允许您采用交互式登录也就没办法将策略设置改回正常了 这种情形看起来像一个解不开的死结要解除禁止本地登录的组策略设置必须以管理员身份本地登录;要以管理员身份本地登录就必须先解除禁止本地登录的组策略设置 问题还是有办法解决的分别讨论如下 一被域策略和域控制器策略所阻止 显然你应该是被域策略和域控制器策略同时阻止了登录权利因为 如果只是域策略阻止由于默认域控制器的策略上允许Administrators登录而域控制器(Domain Controllers)是个OU前面我们讲过组策略的LSDOU原则所以管理员可以登录到DC上把策略改回去 如果只是域控制器的策略阻止它只对DC生效管理员可以在域内的其它计算机上登录到域把策略改回去 要解决被域策略和域控制器策略同时阻止首先我们来回顾一下前面讲过的具体的策略设置值存储在GPT中位于DC的winnt\sysvol\sysvol中以GUID为文件夹名其中安全设置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmplinf这个安全模板文件中它实质就是一个文本文件可利用记事本进行编辑 说明前面我们介绍过默认域的策略默认域控制器的策略使用固定的GUID分别是 默认域的策略的GUID为BFDDFCFBF 默认域控制器的策略的GUID为ACCFDFCFBF 可以利用C盘的隐含共享C$或winnt\sysvol\sysvol的共享sysvol连过去直接编辑具体操作如下 在另一台联网的计算机(WinX//XP均可)上使用域管理员账号连接到DC 利用记事本打开GptTmplinf文件 找到文件中[Privilege Rights]小节下的拒绝本地登录SeDenyInteractiveLogonRight和允许在本地登录SeInteractiveLogonRight关键字进行编辑即可如 使SeDenyInteractiveLogonRight所等于的值为空 保证SeInteractiveLogonRight= *S…… 保存退出 [] [] [] [] [] [] [] |
