win 域环境下被组策略拒绝本地登录的解决方法.docx
《win 域环境下被组策略拒绝本地登录的解决方法.docx》由会员分享,可在线阅读,更多相关《win 域环境下被组策略拒绝本地登录的解决方法.docx(3页珍藏版)》请在冰点文库上搜索。
win域环境下被组策略拒绝本地登录的解决方法
在win2003的域环境下,组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题,使管理员的日常维护效率大大提高,但世间万物皆有利弊,同样人也一样会犯错误,在日常的维护工作中,由于管理员的疏忽操作导致的各种问题比比皆是。
下面我们就来讨论一种看似比较棘手的情况。
在win2003中,当某个域中的用户或本地用户被策略拒绝了本地登陆的权限,当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”,使得用户无法登陆本地计算机,同样也不能登陆域,通常遇到这种问题,我们的解决办法是,用管理员账号登陆域控制器,修改一下策略,把此用户从“拒绝本地登录”列表中删除即可,但如果由于人为的操作失误,管理员把所以用户的本地登陆权限都禁止了,导致了域中所有用户都不能本地登陆域内计算机(包括域管理员以及本地管理员),这种情况就比较棘手了,我们用什么方法能解决这看似不能解决的问题呢?
通过查询相关资料以及测试,我们知道所有策略的设置都保存在域控制器(DC)的windows文件夹下的sysvol文件夹下,以GUID为文件夹名,其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GUID\MACHINE\Microsoft\windowsNT\SecEdit\GptTmpl.inf这个文件中,这是一个文本文件,能通过记事本编辑,要解除对所有用户本地登录限制,我们只需修改这个文本文件,把拒绝登陆的相关信息删除就OK了,而在默认情况下,存放策略设置的sysvol这个文件夹在DC上是被共享的,那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹,远程修改GptTmpl.inf文件,从而解除本地登陆限制呢,下面我们就用虚拟机来做个实验,来模拟一下这样的网络环境,看看能不能达到我们预想的效果。
通过查询资料得知:
Ø默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
Ø默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9
实验的拓扑环境如下:
先部署一个域ADTEST.COM,用物理机做DNS,IP为192.168.11.1域中有两台计算机,Florence为DC,Berlin为加入域的一台成员服务器,Perth为一台工作站。
但Perth不能加入域,因为如果设置了禁止本地登陆,Perth加入域后也不能登陆,我们要用Perth远程登陆到DC来解决这个问题,所以Perth只需把IP设置为与DC同一个网段,DNS都指向192.168.11.1即可。
因本文主要讨论的是后期修改策略的操作,前期的准备工作我就简单介绍一下,就不贴图了哈~~
1创建DNS区域:
修改NS记录和SOA记录,IP地址都应解析为192.168.11.1
2在florence创建域控制器,记得要修改Florence网卡的TCP/IP属性,应该使用192.168.11.1作为自己的DNS服务器。
创建完毕后重启florence并用管理员账号登录到域。
3修改Berlin的IP地址以及DNS地址,把其加入到域中,使其成为域的一个成员服务器
好,至此前期的准备工作已经完成,我们首先在florence(DC)上打开ActiveDirectory用户和计算机,先创建一个用户user1
然后可以在DC和Berlin上用管理员和user1登陆试一下,可以看到现在登陆是没有问题的
下面我们来修改组策略,使所有用户都不能本地登陆,为了能的达到预期效果,我们需要把域策略和域控制器策略同时做禁止本地登陆的修改,因为如果只是域策略阻止,由于默认域控制器的策略上允许管理员登录,而域控制器是个OU,通过组策略的优先级我们知道,OU的优先级要高于域的优先级,所以管理员可以登录到DC上,把策略改回去。
而如果只是域控制器的策略阻止,它只对DC生效。
管理员可以在域内的其它计算机上登录到域,把策略改回去。
升级会员 