WIN2003 域環(huán)境下被組策略拒絕本地登錄的解決方法

1、在win2003的域環(huán)境下，組策略的使用讓我們能更方便的管理域內(nèi)的共享資源以及域內(nèi)用戶的使用權限等諸多問題，使管理員的日常維護效率大大提高，但世間萬物皆有利弊，同樣人也一樣會犯錯誤，在日常的維護工作中，由于管理員的疏忽操作導致的各種問題比比皆是。下面我們就來討論一種看似比較棘手的情況。在win2003中，當某個域中的用戶或本地用戶被策略拒絕了本地登陸的權限，當這個用戶在域中的計算機登陸時會被提示“此系統(tǒng)的本地策略不允許您采用交互式登錄”，使得用戶無法登陸本地計算機，同樣也不能登陸域，通常遇到這種問題，我們的解決辦法是，用管理員賬號登陸域控制器，修改一下策略，把此用戶從“拒絕本地登錄”列表中刪除

2、即可，但如果由于人為的操作失誤，管理員把所以用戶的本地登陸權限都禁止了，導致了域中所有用戶都不能本地登陸域內(nèi)計算機（包括域管理員以及本地管理員），這種情況就比較棘手了，我們用什么方法能解決這看似不能解決的問題呢？通過查詢相關資料以及測試，我們知道所有策略的設置都保存在域控制器（DC）的windows文件夾下的sysvol文件夾下，以GUID為文件夾名，其中安全設置部分保存在DC的windowssysvolsysvol域名policies策略的GUIDMACHINEMicrosoftwindows NTSecEditGptTmpl.inf 這個文件中，這是一個文本文件，能通過記事本編輯，要解除對

3、所有用戶本地登錄限制，我們只需修改這個文本文件，把拒絕登陸的相關信息刪除就OK了，而在默認情況下，存放策略設置的sysvol這個文件夾在DC上是被共享的，那我們能不能用一臺計算機通過網(wǎng)絡連接到DC的sysvol共享文件夾，遠程修改GptTmpl.inf文件，從而解除本地登陸限制呢，下面我們就用虛擬機來做個實驗，來模擬一下這樣的網(wǎng)絡環(huán)境，看看能不能達到我們預想的效果。通過查詢資資料得知知：默認域的策策略的GGUIDD為31BB2F3340-0166D-111D22-9445F-00CC04FFB9884F99 默認域控制制器的策策略的GGUIDD為6ACC17886C-0166F-111D22-

4、9445F-00CC04FFB9884F99實驗的拓撲撲環(huán)境如如下：先先部署一一個域AADTEEST.COMM ，用用物理機機做DNNS，IP為1922.1668.111.11域中有有兩臺計計算機，F(xiàn)lorence為DC，Berlin為加入域的一臺成員服務器，Perth為一臺工作站。但Perth不能加入域，因為如果設置了禁止本地登陸，Perth加入域后也不能登陸，我們要用Perth遠程登陸到DC來解決這個問題，所以Perth只需把IP設置為與DC同一個網(wǎng)段，DNS都指向即可。因本文主要要討論的的是后期期修改策策略的操操作，前前期的準準備工作作我就簡簡單介紹紹一下，就就不貼圖圖了哈1 創(chuàng)建DDN

5、S區(qū)區(qū)域：m 修改改NS記錄錄和SOOA記錄錄，IPP地址都都應解析析為1992.1168.11.12 在flloreencee創(chuàng)建域域控制器器，記得得要修改改Floorennce網(wǎng)網(wǎng)卡的TTCP/IP屬屬性，應應該使用用1922.1668.111.11作為自自己的DDNS服服務器。創(chuàng)創(chuàng)建完畢畢后重啟啟floorennce并并用管理理員賬號號登錄到到adttestt.coom域。3 修改BBerllin 的IP地址址以及DDNS地地址，把把其加入入到addtesst.ccom域域中，使使其成為為域的一一個成員員服務器器 好，至至此前期期的準備備工作已已經(jīng)完成成，我們們首先在在floorennc

6、e（DC）上上打開AActiive Dirrecttoryy用戶和和計算機機，先創(chuàng)創(chuàng)建一個個用戶uuserr1 然然后可以以在DCC和Beerliin上用用管理員員和usser11登陸試試一下，可可以看到到現(xiàn)在登登陸是沒沒有問題題的下面我們們來修改改組策略略，使所所有用戶戶都不能能本地登登陸，為為了能的的達到預預期效果果，我們們需要把把域策略略和域控控制器策策略同時時做禁止止本地登登陸的修修改，因因為如果果只是域域策略阻阻止，由由于默認認域控制制器的策策略上允允許管理理員登錄錄，而域域控制器器是個OOU，通通過組策策略的優(yōu)優(yōu)先級我我們知道道，OUU的優(yōu)先先級要高高于域的的優(yōu)先級級，所以以管理員

7、員可以登登錄到DDC上，把把策略改改回去。而而如果只只是域控控制器的的策略阻阻止，它它只對DDC生效效。管理理員可以以在域內(nèi)內(nèi)的其它它計算機機上登錄錄到域，把把策略改改回去。打開打開開Acttivee Diirecctorry用戶戶和計算算機，首首先設置置域策略略，操作作如下圖圖：選組策略，點點擊編輯輯修改以下下位置，在在拒絕本本地登陸陸位置雙雙擊打開開，默認認是沒有有定義的的，勾選選“定義義這些策策略設置置”，點點擊“添添加用戶戶或組”，因因為doomaiin uuserr 組包包含了域域內(nèi)的所所有用戶戶，所以以我們只只需添加加這個組組即可 確確定后回回到Acctivve DDireecto

8、ory用用戶和計計算機，用用同樣的的方法在在Dommainn Doontrrolllerss（域控控制器）級級別上設設置同樣樣的組策策略。完完成后我我們需要要使設置置馬上生生效，需需刷新組組策略，在在DC和和Berrlinn上用ggpuppdatte /forrce命命令刷新新策略，完完成后注注銷登陸陸，在DDC和BBerllin上上用管理理員和uuserr1登陸陸，現(xiàn)在在可以看看到兩臺臺計算機機都已經(jīng)經(jīng)無法本本地登陸陸了。下面啟動動Perrth 把IPP地址設設置為與與DC同同一網(wǎng)段段，DNNS指向向1922.1668.111.11，然后后用PIING命命令測試試一下域域DC是是否能聯(lián)聯(lián)通。

9、 測試沒有有問題后后右鍵點點擊我的的電腦，點點擊管理理，打開開計算機機管理頁頁面，右右鍵點擊擊計算機機管理（本本地）點點擊連接接到另一一臺計算算機，輸輸入DCC的IPP地址后后點確定定然后選擇下下圖所示示位置：右鍵打開SSYSVVOL 共享文文件夾：首先修修改域控控制器策策略，依依次打開開以下路路徑1922.1668.111.1101syssvolladdtesst.ccomPolliciies6AAC17786CC-0116F-11DD2-9945FF-000C044fB9984FF9MACCHINNEMMicrrosooftWinndowws NNTSSecEEditt，用記記事本打打開G

10、pptTmmpl.inff文件，找找到SeeDennyInnterracttiveeLoggonRRighht字符符串，這這個字符符串后面面數(shù)字就就是我們們定義的的禁止本本地登陸陸的相關關信息，我我們直接接把后面面的內(nèi)容容刪掉即即可，最最后別忘忘記保存存。域控制器策策略修改改完成后后，我們們還要修修改域的的策略，點點擊向上上回到 HYPERLINK file:/01sysvolPolicies 1992.1168.11.1011syysvoolmPoolicciess路徑徑下，然然后雙擊擊打開31BB2F3340-0166D-111D22-9445F-00CC04FFB9884F99文件件夾，

11、上上文提到到過這個個文件名名默認是是域策略略的GUUID，同同樣找到到GpttTmppl.iinf文文件，把把最后的的SeDDenyyIntteraactiiveLLogoonRiightt后面的的數(shù)值清清除并保保存，至至此我們們已經(jīng)把把域策略略和域控控制器策策略全部部修改完完畢。但策略生效效需要刷刷新，可可現(xiàn)在無無法登陸陸不能刷刷新策略略，所以以我們只只有通過過tellnett遠程刷刷一下策策略。但但默認情情況下，ttelnnet服服務是被被禁用的的，需要要遠程把把它啟動動，操作作很簡單單，修改改完策略略后回到到計算機機管理頁頁面，現(xiàn)現(xiàn)在是連連接到DDC的狀狀態(tài)，然然后如下下圖所示示，啟動動tellnett服務即即可啟動服務后后，打開開命令提提示符，ttelnnet到到DC，用用gpuupdaate /foorcee刷新組組策略 刷刷新完成成后會提提示刷新新用戶策策略失敗敗，這個個是正常常的，因因為我們們沒有用用任何用用戶的賬賬號登入入到系統(tǒng)統(tǒng)，系統(tǒng)統(tǒng)還處于于掛起狀狀態(tài)，而而提示計計算機策策略刷新新完成說說明我們們修改的的組策略略設置已已經(jīng)生效效，然后后我們重重新用管管理員賬賬號和uuserr