被域策略拒绝本地登录时的解决办法

域策略的安全设置部分都保存在一个名为"GptTmpl.inf"的安全模板中,这是一个文本文件,存放在DC(域控制器)的SYSVOL(物理目录指向DC的“c:/winnt/sysvol/sysvol")共享中。要解除对所有用户本地登录限制,在不能本地登录的情况下,最快捷的办法可能就是直接编辑这个文本文件。

具体操作如下:

在另一台计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC的SYSVOL共享,在"//<DC name>/sysvol/<Domain name>/Policies/<policy GUID>/MACHINE/Microsoft/Windows NT/SecEdit"下找到该文本文件"GptTmpl.inf"。
(路径中的"DC name"是你放置该组策略的域控制器的名字,"Domain name"是你的域的名字,"Policy GUID"是你要编辑的组策略对象的GUID,类似于"{31B2F340-016D-11D2-945F-05C04FB98439}")。

使用记事本打开"GptTmpl.inf"文件,找到文件中"Privilege Rights"小节下的 "SeDenyInteractiveLogonRight"关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使 "SeDenyInteractiveLogonRight"关键字的值为空。修改完毕将文件保存回原位置。

使用记事本打开位于"//<DC name>/sysvol/<Domain name>/Policies/<policy GUID>"下的 "GPT.INI"文件,提高"General"小节下的"Version"关键字的值,通常是加1000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。修改完毕将文件保存回原位置。

域策略刷新后,问题即告解决。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值