WIN2003 域環境下被組策略拒絕本地登入的解決方法
阿新 • • 發佈:2020-10-09
在win2003的域環境下,組策略的使用讓我們能更方便的管理域內的共享資源以及域內使用者的使用許可權等諸多問題,使管理員的日常維護效率大大提高,但世間萬物皆有利弊,同樣人也一樣會犯錯誤,在日常的維護工作中,由於管理員的疏忽操作導致的各種問題比比皆是。下面我們就來討論一種看似比較棘手的情況。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
在win2003中,當某個域中的使用者或本地使用者被策略拒絕了本地登陸的許可權,當這個使用者在域中的計算機登陸時會被提示“此係統的本地策略不允許您採用互動式登入”,使得使用者無法登陸本地計算機,同樣也不能登陸域,通常遇到這種問題,我們的解決辦法是,用管理員賬號登陸域控制器,修改一下策略,把此使用者從“拒絕本地登入”列表中刪除即可,但如果由於人為的操作失誤,管理員把所以使用者的本地登陸許可權都禁止了,導致了域中所有使用者都不能本地登陸域內計算機(包括域管理員以及本地管理員),這種情況就比較棘手了,我們用什麼方法能解決這看似不能解決的問題呢? 
因本文主要討論的是後期修改策略的操作,前期的準備工作我就簡單介紹一下,就不貼圖了哈~~
1 建立DNS區域:adtest.com 修改NS記錄和SOA記錄,IP地址都應解析為192.168.11.1
2 在florence建立域控制器,記得要修改Florence網絡卡的TCP/IP屬性,應該使用192.168.11.1作為自己的DNS伺服器。建立完畢後重啟florence並用管理員賬號登入到adtest.com域。
3 修改Berlin 的IP地址以及DNS地址,把其加入到adtest.com域中,使其成為域的一個成員伺服器
然後可以在DC和Berlin上用管理員和user1登陸試一下,可以看到現在登陸是沒有問題的
下面我們來修改組策略,使所有使用者都不能本地登陸,為了能的達到預期效果,我們需要把域策略和域控制器策略同時做禁止本地登陸的修改,因為如果只是域策略阻止,由於預設域控制器的策略上允許管理員登入,而域控制器是個OU,通過組策略的優先順序我們知道,OU的優先順序要高於域的優先順序,所以管理員可以登入到DC上,把策略改回去。而如果只是域控制器的策略阻止,它只對DC生效。管理員可以在域內的其它計算機上登入到域,把策略改回去。
開啟開啟Active Directory使用者和計算機,首先設定域策略,操作如下圖:
選組策略,點選編輯
修改以下位置,在拒絕本地登陸位置雙擊開啟,預設是沒有定義的,勾選“定義這些策略設定”,點選“新增使用者或組”,因為domain user 組包含了域內的所有使用者,所以我們只需新增這個組即可
確定後回到Active Directory使用者和計算機,用同樣的方法在Domain Dontrollers(域控制器)級別上設定同樣的組策略。完成後我們需要使設定馬上生效,需重新整理組策略,在DC和Berlin上用gpupdate /force命令重新整理策略,完成後登出登陸,在DC和Berlin上用管理員和user1登陸,現在可以看到兩臺計算機都已經無法本地登陸了。
下面啟動Perth 把IP地址設定為與DC同一網段,DNS指向192.168.11.1,然後用PING命令測試一下域DC是否能聯通。
測試沒有問題後右鍵點選我的電腦,點選管理,開啟計算機管理頁面,右鍵點選計算機管理(本地)點選連線到另一臺計算機,輸入DC的IP地址後點確定
然後選擇下圖所示位置:
右鍵開啟SYSVOL 共享資料夾:首先修改域控制器策略,依次開啟以下路徑\\192.168.11.101\sysvol\adtest.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit,用記事本開啟GptTmpl.inf檔案,找到SeDenyInteractiveLogonRight字串,這個字串後面數字就是我們定義的禁止本地登陸的相關資訊,我們直接把後面的內容刪掉即可,最後別忘記儲存。
域控制器策略修改完成後,我們還要修改域的策略,點擊向上回到\\192.168.11.101\sysvol\adtest.com\Policies\路徑下,然後雙擊開啟{31B2F340-016D-11D2-945F-00C04FB984F9}資料夾,上文提到過這個檔名預設是域策略的GUID,同樣找到GptTmpl.inf檔案,把最後的SeDenyInteractiveLogonRight後面的數值清除並儲存,至此我們已經把域策略和域控制器策略全部修改完畢。
但策略生效需要重新整理,可現在無法登陸不能重新整理策略,所以我們只有通過telnet遠端刷一下策略。但預設情況下,telnet服務是被禁用的,需要遠端把它啟動,操作很簡單,修改完策略後回到計算機管理頁面,現在是連線到DC的狀態,然後如下圖所示,啟動telnet服務即可
啟動服務後,開啟命令提示符,telnet到DC,用gpupdate /force重新整理組策略
重新整理完成後會提示重新整理使用者策略失敗,這個是正常的,因為我們沒有用任何使用者的賬號登入到系統,系統還處於掛起狀態,而提示計算機策略重新整理完成說明我們修改的組策略設定已經生效,然後我們重新用管理員賬號和user1賬號登陸DC和Berlin試一下,已經可以登陸了。
因本文主要討論的是後期修改策略的操作,前期的準備工作我就簡單介紹一下,就不貼圖了哈~~
1 建立DNS區域:adtest.com 修改NS記錄和SOA記錄,IP地址都應解析為192.168.11.1
2 在florence建立域控制器,記得要修改Florence網絡卡的TCP/IP屬性,應該使用192.168.11.1作為自己的DNS伺服器。建立完畢後重啟florence並用管理員賬號登入到adtest.com域。
3 修改Berlin 的IP地址以及DNS地址,把其加入到adtest.com域中,使其成為域的一個成員伺服器
好,至此前期的準備工作已經完成,我們首先在florence(DC)上開啟Active Directory使用者和計算機,先建立一個使用者user1
然後可以在DC和Berlin上用管理員和user1登陸試一下,可以看到現在登陸是沒有問題的
下面我們來修改組策略,使所有使用者都不能本地登陸,為了能的達到預期效果,我們需要把域策略和域控制器策略同時做禁止本地登陸的修改,因為如果只是域策略阻止,由於預設域控制器的策略上允許管理員登入,而域控制器是個OU,通過組策略的優先順序我們知道,OU的優先順序要高於域的優先順序,所以管理員可以登入到DC上,把策略改回去。而如果只是域控制器的策略阻止,它只對DC生效。管理員可以在域內的其它計算機上登入到域,把策略改回去。
開啟開啟Active Directory使用者和計算機,首先設定域策略,操作如下圖:
選組策略,點選編輯
修改以下位置,在拒絕本地登陸位置雙擊開啟,預設是沒有定義的,勾選“定義這些策略設定”,點選“新增使用者或組”,因為domain user 組包含了域內的所有使用者,所以我們只需新增這個組即可
確定後回到Active Directory使用者和計算機,用同樣的方法在Domain Dontrollers(域控制器)級別上設定同樣的組策略。完成後我們需要使設定馬上生效,需重新整理組策略,在DC和Berlin上用gpupdate /force命令重新整理策略,完成後登出登陸,在DC和Berlin上用管理員和user1登陸,現在可以看到兩臺計算機都已經無法本地登陸了。
下面啟動Perth 把IP地址設定為與DC同一網段,DNS指向192.168.11.1,然後用PING命令測試一下域DC是否能聯通。
測試沒有問題後右鍵點選我的電腦,點選管理,開啟計算機管理頁面,右鍵點選計算機管理(本地)點選連線到另一臺計算機,輸入DC的IP地址後點確定
然後選擇下圖所示位置:
右鍵開啟SYSVOL 共享資料夾:首先修改域控制器策略,依次開啟以下路徑\\192.168.11.101\sysvol\adtest.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit,用記事本開啟GptTmpl.inf檔案,找到SeDenyInteractiveLogonRight字串,這個字串後面數字就是我們定義的禁止本地登陸的相關資訊,我們直接把後面的內容刪掉即可,最後別忘記儲存。
域控制器策略修改完成後,我們還要修改域的策略,點擊向上回到\\192.168.11.101\sysvol\adtest.com\Policies\路徑下,然後雙擊開啟{31B2F340-016D-11D2-945F-00C04FB984F9}資料夾,上文提到過這個檔名預設是域策略的GUID,同樣找到GptTmpl.inf檔案,把最後的SeDenyInteractiveLogonRight後面的數值清除並儲存,至此我們已經把域策略和域控制器策略全部修改完畢。
但策略生效需要重新整理,可現在無法登陸不能重新整理策略,所以我們只有通過telnet遠端刷一下策略。但預設情況下,telnet服務是被禁用的,需要遠端把它啟動,操作很簡單,修改完策略後回到計算機管理頁面,現在是連線到DC的狀態,然後如下圖所示,啟動telnet服務即可
啟動服務後,開啟命令提示符,telnet到DC,用gpupdate /force重新整理組策略
重新整理完成後會提示重新整理使用者策略失敗,這個是正常的,因為我們沒有用任何使用者的賬號登入到系統,系統還處於掛起狀態,而提示計算機策略重新整理完成說明我們修改的組策略設定已經生效,然後我們重新用管理員賬號和user1賬號登陸DC和Berlin試一下,已經可以登陸了。
至此,大功告成!問題成功解決!
除以上方法外,也可以使用C$ 共享遠端訪問DC來修改策略,(若C$共享預設沒開啟,可以用net share C$=C: 開啟),其解決辦法的原理都一樣,具體方法不再贅述,有興趣的朋友可以自己試一下。