解开拒绝本地登录的“死结”
今天我们来研究一下,在
windows 2003
中有人禁止域中所有用户本地登录后,我们的解决方案!以下是我们这个方案的拓扑结构,拓扑图看起来可能不太规范,我给大家解释一下吧!
firenze
是一台
DNS
服务器,
Berlin
是域控制器,
Perth
是成员服务器,它们都隶属于
ITAT.COM
域内,
florence
是一台与
ITAT.COM
域内的计算机同一个子网,而不同域内的主机。
![](../attachment/200901/200901141231921911054.gif)
假如有人在你们公司的域控制器上做了如下操作,如图所示,我们先来禁止管理员在域控制器上登录(默认情况下普通域用户是没有权限在域控制器上登录的),鼠标右键
Domain controllers
属性
----
组策略
----
双击组策略对象链接。
![](../attachment/200901/200901141231921924739.gif)
打开后如图所示,找到拒绝本地登录该策略后,双击打开
![](../attachment/200901/200901141231921946647.gif)
点击添加用户或组,将
Users
该组添加进去或者
Domain Users
也可以,因为
Domain Users
隶属于
Users
。
![](../attachment/200901/200901141231921961708.gif)
禁止管理员在域控制器上登录后,接下来我们来禁止所有域用户在域内本地登录。
步骤和我们刚刚做的一样,右键域的属性,打开组策略对象连接。
![](../attachment/200901/200901141231921984821.gif)
找到拒绝本地用户登录该策略
![](../attachment/200901/200901141231921997204.gif)
添加
Users
组
![](../attachment/200901/200901141231922007735.gif)
禁止域中所有用户本地登录的操作已经完成。
接下来我们创建几个组织单位留着测试用,当然这个过程可不是那个坏人做的。
![](../attachment/200901/200901141231922017679.gif)
如图所示,我们创建了两个组织单位,每个组织单位都有一个用户。
![](../attachment/200901/200901141231922028964.gif)
![](../attachment/200901/200901141231922042703.gif)
接下来我们在域控制器和成员控制器上,对我们刚刚作的组策略进行刷新一下。
![](../attachment/200901/200901141231922056258.gif)
然后,注销域控制器,在登录时你会发现,它提示“此系统的本地策略不允许你交互登录”,在域控制器上已经登录不去啦!在域成员服务器试一下能进去吗?
![](../attachment/200901/200901141231922065890.gif)
如图所示我们已经看到,域成员也已经进不去啦!
![](../attachment/200901/200901141231922080728.gif)
假如你是这台域控制器的管理员,那你会怎么解决这个问题呢?那还是先听我说吧!按理说管理员是知道自己的帐户和密码的,知道这个就好办啦,我们只要修改它的策略,然后
telnet
到这个计算机刷新一下组策略就
OK
啦吗。那如何修改目标计算机的策略呢?组策略配置文件又在什么地方呢?知道这一点很重要。今天的重点就要开始啦!
大致的过程是这样:
1
找到组策略的配置文件
2
修改组策略配置
3 telnet
到远程计算机
4
应用新的组策略配置
一、找到组策略的配置文件
组策略的配置文件它是一个名为
SYSVOL
的共享文件,它在
C:\Windows\sysvol
目录下;知道这一点还等什么?赶紧去
Berlin
上找到该文件,我们先找到一台同一子网的主机,在这儿我们用
florence
来担任这台主机,把
IP
改为
192.168.11.103
,先
PING
一下是否能联系上
BERLIN
,然后再去访问。
![](../attachment/200901/200901141231922094403.gif)
如图所示文件已经找到,怎么修改呢?
![](../attachment/200901/200901141231922106045.gif)
二、修改组策略的配置文件
依次展开
sysvol\itat.com\policies\{6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\windows nt\secedit
该目录后,就可以看到策略的配置文件,这只是禁止在域控制器级别上登录的本地策略
![](../attachment/200901/200901141231922114531.gif)
打开该文件找到“
SeDenyInteractiveLogonRight
”策略,删除右侧的红框里的
SID
即可,然后保存回原位置
再依次展开
sysvol\itat.com\policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\windows nt\secedit
该目录下的配置文件是禁止域级别用户登录的策略配置文件
打开该文件后同样也是找到“
SeDenyInteractiveLogonRight
”策略,删除右侧的红线上的
SID
即可,然后保存回原位置
三、
telnet
到远程计算机
打开我的电脑管理,如图所示连接到另一台计算机。
![](../attachment/200901/200901141231923671850.gif)
输入远程计算机的计算机名或
IP
地址
![](../attachment/200901/200901141231923718041.gif)
如图所示已成功连接,然后点击服务找到
Telnet
服务并启用
![](../attachment/200901/200901141231923737797.gif)
Telnet
服务启用成功
![](../attachment/200901/200901141231923794917.gif)
我们再连接到
perth
上并启用
telnet
服务,如图所示服务启用成功
![](../attachment/200901/200901141231923813257.gif)
四、应用新的策略配置
服务启用成功后,我们就可以登录到远程计算机啦!
![](../attachment/200901/200901141231923824437.gif)
登录成功后,输入
gpupdate /force
刷新一下计算机策略,如图所示提示刷新用户策略失败,没关系我们来到
berlin
上登录一下是可以进去的。
![](../attachment/200901/200901141231923839741.gif)
看,我们的域管理员进去了吧!
![](../attachment/200901/200901141231923851572.gif)
当你再刷新的时候,就不会再失败了。
![](../attachment/200901/200901141231923861635.gif)
我们再
TELNET
到
perth
上
![](../attachment/200901/200901141231923873652.gif)
刷新一下策略
![](../attachment/200901/200901141231923931713.gif)
策略刷新完成,我们再来到
perth
上登录
![](../attachment/200901/200901141231923953513.gif)
域成员也进去啦吗!
试验到此结束,如有问题请留言……谢谢!
转载于:https://blog.51cto.com/yangxuejun/126484