本地策略不允许交互式登录的解决方法

 哎呀呀，，又遇到问题了，，查资料的过程中，看到这个东东，，哈哈，不错，，先收住先，，

              客户机重装系统WIN2K PRO版；在工作组模式中一切正常，加入域后也提示欢迎加入域 ，可重启后输入域用户名和密码却提示用户名和密码出错或你的本地策略不允许你采用交互式登录（域用户名和密码是正确的）；并且改用此WIN2KPRO客户机的系统管理帐户登录本机也提示出错无法登录系统；
难道WIN2K的客户机加入域时都必须修改本地策略吗？
是应该修改客户机的本地策略还是应该在域控制器上修改？
在控制器上应该修改域策略还是域控制器策略？
具体应该怎样操作？
有没有更简单的方法？

建议：

1.运行故障恢复控制台，在命令提示符处键入 copy c:/winnt/repair/security c:/winnt/system32/config/security后重启，可正常登录。或到DOS下面，把winnt/system32/config里面的security文件删了，然后把winnt/repair里面的安装时候的原始文件给COPY过去了。不过就恢复成安装时的默认状态了，说实话，不是一种很好的解决方法。
(注：重新关机登录又提示本地策略不允许交互式登录。）
使用administrator帐号登入，在安全策略中把你使用的用户名所在组加入“允许交互式登录”即可。
必须拥有本地交互式登录权限的用户或者所在组才能在本地登录。
步骤：----单击“开始” * “管理工具” * “本地安全策略”，打开“计算机配置” * “Windows设置” * “安全设置” * “本地策略” * “用户权限指派”，右键单击“在本地登录”，左键单击“安全性”查看，然后可以进行在本地登录的有效的组设置。

另外方法：
就是把本机的secedit.sdb文件拷出来，在另一台机器里面，开始－＞运行－＞MMC－＞控制台－＞添加/删除管理单元－＞添加一个“安全配置和分析”－＞右键　打开“数据库文件”，指定这个拷出来的数据库文件，然后对该文件进行分析处理，再拷到原始机器里面去。


2.如果计算机是一台不在域中的单独的Windows 2000计算机，参考以下步骤：

1)       启动故障计算机至登录状态；

2)       登录到网络中的另外一台Windows 2000 或 Windows XP的计算机上，打开开始，单击运行，键入cmd,回车；

3)       在命令行模式下运行 net use /computername/ipc$ /user:administrator password,请使用正确的参变量值替代其中的computername、password；

4)        打开开始，单击运行，键入/computername/c$/security/database, 在打开的窗口中重新命名secedit.sdb至色Secedit.old，将一个标准版本的数据库文件拷贝至该目录，标准版本的数据库文件可以在未更改过组策略的单独的相应的计算机的c:/winnt/security/database中获得。（假设您的系统安装在c:/）；

5)       重新启动故障计算机，尝试登录。


3.如果计算机是在域中一台Windows 2000客户端或member server，参考以下步骤：

1)     请检查Site、Domain、OU级别的组策略，是否定义过本地登录，拒绝本地登录的选项，具体位置在 计算机配置>Windows设置〉安全设置〉本地策略〉用户权利指派；

2)     如在该设置中有错误设置，请更正后，重新启动客户端；

3)     如果仍然不可以，请参考以上的五步重置secedit.db文件，断开故障计算机的网络，重新启动该计算机再尝试登录；


4.如果该计算机是一台域控制器，请参考以下步骤：

1）  以管理员的身份登录网络中的另外一台Windows 2000的计算机；

2）  获得ntright*.**e Resource Kit工具，将之拷贝到系统盘的Winnt/system32目录中；

3）  如果您确认该问题是因为更改的组策略，对某个用户或组设置了拒绝本地登录而导致，在命令行中运行：

ntrights -m /computer -u <group or user to remove> -r SeDenyInteractiveLogonRight

4）  如果您确认该问题是因为更改的组策略，删除某个用户或组的本地登录的权限而导致，在命令行中运行：

ntrights -m /computer -u <group or user to remove> +r SeInteractiveLogonRight

5）  重新启动故障计算机，再次尝试登录


相关： 

==========================================================

为何不能交互式登陆 

     win2000的终端网，采用win2000 application server终端服务模式+citrix(sp3)，客户机上出现登陆窗口，以域用户普通账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题，开始有点呐闷，这个问题怎么非本地账号登陆域服务器时出现的问题一样，后来查了一查资料，才明白过来。

   首先必须讲一讲NT和win2000的身份验证机制。NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议，用户通过提供登陆信息（如用户名和密码）,服务器将这些信息发送到服务器上的验证机构，验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的，不可传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权限。而在现在的win2000域模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永不变的，由每域的RID主机（相对关系主机）来分配的。SID在每个域中是独一无二的，但在其他域中也可能出现同样的SID，但是由于域ID的不同，所以二者的GUID就不可能相同。但这必须建立在Kerberos协议的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A；A信任B，B信任C，A信任C。当然也可手工调整.一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE（Access control entry)是具体的访问类型（如read,write等等). 

    再谈一谈针对win2000域环境下本地交互登陆的机制.众所周知，win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器，GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求，就会将其转发到LSA（本地权威机构），而在WIN2000下由于Kerberos是默认的验证机制，所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后，便会出现错误信息，因为kerberos是用来验证域用户账号而非本地账号，此时LSA收到错误信息，会将其转发到GINA，GINA在将指定了MSV1_0协议的LSA来验证身份，如果通过则完成本地交互式登陆。 

    说了这么多,到底跟终端用户登陆到服务器有什么关系.终端用户不是通过网络登陆吗？又不是本地登陆.终端顾名思义是客户通过键盘输入，发送指令到服务器，并没有大量的数据传送，最后通过客户机的显示器输出结果，实际上就是一个本地登陆的过程,所以采用的客户账号必须是本地账号。 
    现在就给大家提供具体的解决办法：win2000的得意之作GPO，即group policy object,win2000把winNT要通过修改注册表或者运行poledit.exe修改Ntconfig.pol文件才能达到配置政策的目的，通过GPO来实现一个超强功能的中央集权的组政策，此政策是建立在活动目录(Active Directory)基础之上的，活动目录又是通过DNS来定位服务的。所以如果要使用GPO，就必须在安装完 WIN2000 SERVER+DNS之后，通过DCPROMO.EXE程序来安装活动目录后，才能使用GPO.安装完活动目录之后，点击开始-程序-管理工具-Active Directory用户和计算机, 右击所在域控制器(本例是Domain Controllers)-属性-组政策，(请特别注意这里,不是Default Domain Policy) 点击选项，选中禁止覆盖入， 点击default domain controlers policy,选择编辑进入GPO窗口。选择计算机配置-windows设置-本地策略-用户权利指派，在允许本地登陆的选项上将终端用户所在的组添加上，关闭所有窗口。打开win2000的命令处理窗口，运行secedit /refreshpolicy machine_policy,在事件查看器去看一下组政策是否已成功运用.最后在客户机上用已添加的终端用户账号就能成功登陆.

（作者：EMAIL:owlbird@163.com               http://owlbird.xiloo.com ）
　

疑问与解答:

1. 
       请教你一个问题，我的服务器系统安装的是windows2000server＋sp3，安装了域，工作安装的是windows2000professional，工作站系统安装好后，加入域后，能登陆域，但本机的用户不能登陆了，系统提示（此系统不允许本机采用交互式登陆）请问高手如何解决。谢谢！


回复:

      关于这个的问题,关键你要搞清组政策应用的权力大小。OU(组织单元)>域>网站>本机,由于你的win2000pro加入域后,如果要登陆到域,就必须有域服务器的账号,因为一旦加入了域,那么域组政策会覆盖掉客户机的本机组政策,如果你想添加某个账号必须在域服务器上添加这个账号,并允许其能够交互式登陆.这里请务必注意域的组政策不等于域服务器的组政策 如图5:右击所在域控制器(本例是wupanlan.com-属性-组政策) 
　 
2. 

     我读了您的文章,可是我还是没搞清域服务器的组政策与域的组政策有什么不同?为什么做win2000终端时是Domain Controllers-属性-组政策,而profession客户机却是在wupanlan.com-属性-组政策. 

回复: 

     这个问题和上一个问题很类似,你必须明白终端模式与服务器-客户机模式的不同.一个是远程控制,一个是远程访问.远程控制时,相当于本机登陆到服务器,而远程访问时是以客户机的方式去登陆到服务器. 

3. 

     前几天因为碰到一个关于WINDOWS2000域环境下的交互式登陆问题 在您的指导下，我解决了用TERMINAL CLIENT无法交互式登陆的问题。不过，随即也引发了另一个问题，我的普通的工作站登陆WINDOWS 2000域时，无论用任何方法登陆，都提示“该系统的本地策略不允许交互式登陆”，就算我使用本里本地用户名登陆本机也会提示相同信息，也即我根本无法进入该机器的WINDOWS 2000 PRO 系统了。 但该情况似乎只发生在运行WINDOWS 2000 PRO的工作站上，因为在我的域环境里，同样也有WINDOWS XP的*作系统的工作站，那些工作站没有问题，可以正常登陆。一开始我以为确实是该工作站本地的策略有问题，而我又无法进入该工作站，最后选择了从新安装系统，但正如您猜测的，结果还是一样，正好在这个时候，另外一个WINDOWS 2000 PRO用户报告说他也有同样问题了，所以我就把设置该了回来，从起机器，一切有恢复正常。我对WINDOWS域环境下运行原理不是很熟悉，所以我想请问下您对这现象有过累世类似经历吗？谢谢！ 

回复: 

         winxp没有组政策的相关设置,不受组政策的的影响,其余的问题请您再读一下我修正过的文章. 

4. 

      在允许本地登陆的选项卡上将一般用户添加上（其中一个用户的密码为空），却忘了将管理员添上。在终端客户机上登陆时没有显示登陆窗口就直接登上去了，为一般用户。希望大侠抽空帮忙解决，不胜感激！ 

回复: 

         net user users(允许本地登陆的普通用户组）  administrator /add