WIN 域環(huán)境下被組策略拒絕本地登錄的解決方法

在win2003的域環(huán)境下，組策略的使用讓我們能更方便的管理域內(nèi)的共享資源以及域內(nèi)用戶的使用權(quán)限等諸多問題，使管理員的日常維護(hù)效率大大提高，但世間萬物皆有利弊，同樣人也一樣會犯錯誤，在日常的維護(hù)工作中，由于管理員的疏忽操作導(dǎo)致的各種問題比比皆是。下面我們就來討論一種看似比較棘手的情況。

在win2003中，當(dāng)某個域中的用戶或本地用戶被策略拒絕了本地登陸的權(quán)限，當(dāng)這個用戶在域中的計算機(jī)登陸時會被提示“此系統(tǒng)的本地策略不允許您采用交互式登錄”，使得用戶無法登陸本地計算機(jī)，同樣也不能登陸域，通常遇到這種問題，我們的解決辦法是，用管理員賬號登陸域控制器，修改一下策略，把此用戶從“拒絕本地登錄”列表中刪除即可，但如果由于人為的操作失誤，管理員把所以用戶的本地登陸權(quán)限都禁止了，導(dǎo)致了域中所有用戶都不能本地登陸域內(nèi)計算機(jī)（包括域管理員以及本地管理員），這種情況就比較棘手了，我們用什么方法能解決這看似不能解決的問題呢？

通過查詢相關(guān)資料以及測試，我們知道所有策略的設(shè)置都保存在域控制器（DC）的windows文件夾下的sysvol文件夾下，以GUID為文件夾名，其中安全設(shè)置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GUID\MACHINE\Microsoft\windowsNT\SecEdit\GptTmpl.inf這個文件中，這是一個文本文件，能通過記事本編輯，要解除對所有用戶本地登錄限制，我們只需修改這個文本文件，把拒絕登陸的相關(guān)信息刪除就OK了，而在默認(rèn)情況下，存放策略設(shè)置的sysvol這個文件夾在DC上是被共享的，那我們能不能用一臺計算機(jī)通過網(wǎng)絡(luò)連接到DC的sysvol共享文件夾，遠(yuǎn)程修改GptTmpl.inf文件，從而解除本地登陸限制呢，下面我們就用虛擬機(jī)來做個實驗，來模擬一下這樣的網(wǎng)絡(luò)環(huán)境，看看能不能達(dá)到我們預(yù)想的效果。通過查詢資料得知：默認(rèn)域的策略的GUID為31B2F340-016D-11D2-945F-00C04FB984F9

默認(rèn)域控制器的策略的GUID為6AC1786C-016F-11D2-945F-00C04FB984F9實驗的拓?fù)洵h(huán)境如下：先部署一個域ADTEST，用物理機(jī)做DNS，IP為域中有兩臺計算機(jī)，F(xiàn)lorence為DC，Berlin為加入域的一臺成員服務(wù)器，Perth為一臺工作站。但Perth不能加入域，因為如果設(shè)置了禁止本地登陸，Perth加入域后也不能登陸，我們要用Perth遠(yuǎn)程登陸到DC來解決這個問題，所以Perth只需把IP設(shè)置為與DC同一個網(wǎng)段，DNS都指向即可。因本文主要討論的是后期修改策略的操作，前期的準(zhǔn)備工作我就簡單介紹一下，就不貼圖了哈~~1創(chuàng)建DNS區(qū)域：adtest修改NS記錄和SOA記錄，IP地址都應(yīng)解析為2在florence創(chuàng)建域控制器，記得要修改Florence網(wǎng)卡的TCP/IP屬性，應(yīng)該使用作為自己的DNS服務(wù)器。創(chuàng)建完畢后重啟florence并用管理員賬號登錄到adtest域。3修改Berlin的IP地址以及DNS地址，把其加入到adtest域中，使其成為域的一個成員服務(wù)器好，至此前期的準(zhǔn)備工作已經(jīng)完成，我們首先在florence（DC）上打開ActiveDirectory用戶和計算機(jī)，先創(chuàng)建一個用戶user1馳

然忽后可以在D防C和Ber文lin上用育管理員和u后ser1登服陸試一下，蘿可以看到現(xiàn)家在登陸是沒族有問題的校

下面我們怖來修改組策機(jī)略，使所有勤用戶都不能蛇本地登陸，坑為了能的達(dá)母到預(yù)期效果局，我們需要徑把域策略和悅域控制器策壇略同時做禁變止本地登陸孕的修改，因若為如果只是會域策略阻止確，由于默認(rèn)脖域控制器的跟策略上允許酒管理員登錄為，而域控制鐮器是個OU指，通過組策牙略的優(yōu)先級糟我們知道，廣OU的優(yōu)先價級要高于域界的優(yōu)先級，旋所以管理員自可以登錄到封DC上，把膨策略改回去朝。而如果只宰是域控制器許的策略阻止旬，它只對D器C生效。管鉆理員可以在載域內(nèi)的其它尤計算機(jī)上登城錄到域，把敢策略改回去刺。還

打開打開著Activ酒eDir類ector坊y用戶和計績算機(jī)，首先列設(shè)置域策略玩，操作如下仁圖：撫選組策略，長點(diǎn)擊編輯榮

修改以下秀位置，在拒候絕本地登陸概位置雙擊打巴開，默認(rèn)是坦沒有定義的振，勾選“定鄰義這些策略卡設(shè)置”，點(diǎn)謝擊“添加用銹戶或組”，懲因為dom謝ainu年ser組雄包含了域內(nèi)虛的所有用戶到，所以我們繩只需添加這鳴個組即可清

確齒定后回到A愁ctive惠Dire終ctory屯用戶和計算案機(jī)，用同樣仿的方法在D政omain捕Dont介rolle膝rs（域控添制器）級別錢上設(shè)置同樣綱的組策略。義完成后我們架需要使設(shè)置織馬上生效，宜需刷新組策醋略，在DC倘和Berl靈in上用g于pupda旺te/f遣orce命競令刷新策略哀，完成后注低銷登陸，在須DC和Be矛rlin上餃用管理員和斷user1醉登陸，現(xiàn)在蒙可以看到兩倘臺計算機(jī)都蓄已經(jīng)無法本喬地登陸了。城

下面啟動豐Perth栽把IP地模址設(shè)置為與奸DC同一網(wǎng)媽段，DNS完指向192壘.168.述11.1，內(nèi)然后用PI飯NG命令測箱試一下域D廢C是否能聯(lián)粱通。眠測試沒有雨問題后右鍵預(yù)點(diǎn)擊我的電撐腦，點(diǎn)擊管梯理，打開計贏算機(jī)管理頁母面，右鍵點(diǎn)么擊計算機(jī)管費(fèi)理（本地）師點(diǎn)擊連接到漠另一臺計算猾機(jī)，輸入D買C的IP地境址后點(diǎn)確定白然后選擇下違圖所示位置罰：漲右鍵打開S緞YSVOL倡共享文件利夾：首先修趟改域控制器蠶策略，依次志打開以下路熱徑\\19救2.168遺.11.1殘01\sy往svol\誰adtes滲t昂\Poli盒cies\面{6AC1磁786C-墊016F-禮11D2-蹦945F-鋤00C04靠fB984躁F9}\M鳴ACHIN取E\Mic近rosof泳t\Win棉dows獵NT\Se喘cEdit添，用記事本像打開Gpt鉛Tmpl.羨inf文件慣，找到船SeDen詳yInte三racti過veLog堪onRig宮ht字符串現(xiàn)，這個字符寄串后面數(shù)字預(yù)就是我們定疫義的禁止本乒地登陸的相枯關(guān)信息，我姻們直接把后做面的內(nèi)容刪勇掉即可，最遞后別忘記保豎存。池域控制器策萬略修改完成廚后，我們還拋要修改域的竄策略，點(diǎn)擊勇向上回到批\\192悲.168.脊11.10節(jié)1\sys袋vol\a塞dtest狐\帆Polic尼ies\質(zhì)路徑下，然寧后雙擊打開貪{31B2襲F340-江016D-進(jìn)11D2-互945F-土00C04凍FB984脈F9}文件蜜夾，上文提申到過這個文變件名默認(rèn)是霸域策略的G蹤UID，同電樣找到Gp掠tTmpl悟.inf文晝件，把最后獅的SeDe掌nyInt堵eract伐iveLo童gonRi軍ght后面早的數(shù)值清除瘦并保存，至童此我們已經(jīng)編把域策略和夠域控制器策級略全部修改蚊完畢。拐但策略生效夕需要刷新，潮可現(xiàn)在無法禍登陸不能刷優(yōu)新策略，所詠以我們只有堆通過tel忌net遠(yuǎn)程為刷一下策略拾。但默認(rèn)情適況下，te墨lnet服彩務(wù)是被禁用噴的，需要遠(yuǎn)隔程把它啟動茶，操作很簡梳單，修改完宴策略后回到撿計算機(jī)管理藥頁面，現(xiàn)在俯是連接到D即C的狀態(tài)，賴然后如下圖錦所示，啟動蠶telne廳t服務(wù)即可充啟動服務(wù)后疏，打開命令嚷提示符，t矩elnet憂到DC，用主gpupd姜ate/產(chǎn)force遠(yuǎn)刷新組策略迎

刷波新完成后會辯提示刷新用填戶策略失敗慕，這個是正筐常的，因為雷我們沒有用蠻任何用戶的拘賬號登入到峽系統(tǒng)，系統(tǒng)向還處于掛起底狀態(tài)，而提未示計算機(jī)策亂略刷新完成打說明我們修裕改的組策略塊設(shè)置已經(jīng)生役效，然后我形們重新用管猛理員賬號和逝user1漲賬號登陸