故障现象:
在2003年12月13日,主域服务器的管理员无法登陆,提示“此系统的本地策略不允许您采用交互式登录”,导致登陆失败,用别的用户也出现相同提示,无法登陆。
故障分析:
造成这个现象的原因是由于误操作使用域策略把USERS组拒绝本地登陆。域策略的安全设置部分都保存在一个名为“GptTmpl.inf”的安全模板中,这是一个文本文件,存放在DC(域控制器)的SYSVOL中(物理目录指向DC的“c:\winnt\sysvol\sysvol”),这个文件夹是默认共享的,可以从网上邻居中访问,但只有管理员组的用户对它有写的权限。要解除对所有用户本地登录限制,在不能本地登录的情况下,最快捷的办法可能就是远程直接编辑这个文本文件。
故障解决:
因为策略没有禁止网络登陆,我们可以从网上邻居中访问八厂域控制器找到GptTmpl.inf文件编辑它。具体操作如下:
1. 在另外一台计算机上用八厂域管理员的身份登陆,从网上邻居中打开八厂域控制器,在“\\mksfserver\sysvol\mksfserver\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows
NT\SecEdit”下找到“GptTmpl.inf文件”。
2. 打开“GptTmpl.inf”文件,找到文件中“Privilege Rights”小节下的
“SeDenyInteractiveLogonRight”关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使“SeDenyInteractiveLogonRight”关键字的值为空。修改完毕将文件保存回原位置。
3. 然后用记事本打开位于“\\mksfserver\sysvol\mksfserver\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}”下的
“GPT.INI”文件,提高“General”小节下的“Version”关键字的值,通常是加1000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。修改完毕将文件保存回原位置。
4. 等域策略刷新后(这个时间不长),就可以用管理员本地登陆到主域服务器上了。
说明:
本方法只适用于域策略造成用户不能本地登陆的情况,对于在普通win2000上(不是DC)采用本地安全策略禁止用户本地登陆的情形就不能用此方法了,因为在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理,而且域安全策略与本地安全策略的数据保存机制不同,本地安全策略的安全设置通常存放在一个二进制的安全数据库secedit.sdb中,这个安全数据库的结构我们无从知道,因此象第一部分那样直接编辑安全模板文件的办法是无能为力了。当然,这种情况也是有解决办法的,具体方法可以查询微软网站,这里就不再详诉了。