熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

組策略應用相關實例[3]

2013-11-11 22:12:59  來源: Windows系統管理 

  Q(也僅是)中由於禁止本地登錄權利而導致的所有用戶管理員無法登錄

  在安全策略/本地策略/用戶權利分配下有兩條策略

  拒絕本地登錄默認為未定義

  允許在本地登錄其默認值分別為

  本地計算機策略AdministratorsBackup OperatorsPower UsersUsers

  默認域的策略未定義

  默認域控制器的策略AdministratorsAccount OperatorsBackup OperatorsServer OperatorsPrint OperatorsIUSR_dcname

  說明如果在同一級別上對同一對象(用戶或組)同時設置了允許拒絕拒絕權利的優先級別高也就是說二者沖突時拒絕權利生效

  假設不小心或干脆有人使壞在拒絕本地登錄上設置了所有人或管理員又或者在允許登錄上把管理員給刪掉了不論哪一種情況都會導致管理員無法登錄出錯提示為此系統的本地策略不允許您采用交互式登錄也就沒辦法將策略設置改回正常了

  這種情形看起來像一個解不開的死結要解除禁止本地登錄的組策略設置必須以管理員身份本地登錄;要以管理員身份本地登錄就必須先解除禁止本地登錄的組策略設置

  問題還是有辦法解決的分別討論如下

  一被域策略和域控制器策略所阻止

  顯然你應該是被域策略和域控制器策略同時阻止了登錄權利因為

  如果只是域策略阻止由於默認域控制器的策略上允許Administrators登錄而域控制器(Domain Controllers)是個OU前面我們講過組策略的LSDOU原則所以管理員可以登錄到DC上把策略改回去

  如果只是域控制器的策略阻止它只對DC生效管理員可以在域內的其它計算機上登錄到域把策略改回去

  要解決被域策略和域控制器策略同時阻止首先我們來回顧一下前面講過的具體的策略設置值存儲在GPT中位於DC的winnt\sysvol\sysvol中以GUID為文件夾名其中安全設置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmplinf這個安全模板文件中它實質就是一個文本文件可利用記事本進行編輯

  說明前面我們介紹過默認域的策略默認域控制器的策略使用固定的GUID分別是

  默認域的策略的GUID為BFDDFCFBF

  默認域控制器的策略的GUID為ACCFDFCFBF

  可以利用C盤的隱含共享C$或winnt\sysvol\sysvol的共享sysvol連過去直接編輯具體操作如下

  在另一台聯網的計算機(WinX//XP均可)上使用域管理員賬號連接到DC

  利用記事本打開GptTmplinf文件

  找到文件中[Privilege Rights]小節下的拒絕本地登錄SeDenyInteractiveLogonRight和允許在本地登錄SeInteractiveLogonRight關鍵字進行編輯即可

  使SeDenyInteractiveLogonRight所等於的值為空

  保證SeInteractiveLogonRight= *S……

  保存退出

[]  []  []  []  []  []  []  


From:http://tw.wingwit.com/Article/os/xtgl/201311/10155.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.