解开拒绝本地登录的“死结”
今天我们来研究一下,在 windows 2003 中有人禁止域中所有用户本地登录后,我们的解决方案!以下是我们这个方案的拓扑结构,拓扑图看起来可能不太规范,我给大家解释一下吧! firenze 是一台 DNS 服务器, Berlin 是域控制器, Perth 是成员服务器,它们都隶属于 ITAT.COM 域内, florence 是一台与 ITAT.COM 域内的计算机同一个子网,而不同域内的主机。
 
假如有人在你们公司的域控制器上做了如下操作,如图所示,我们先来禁止管理员在域控制器上登录(默认情况下普通域用户是没有权限在域控制器上登录的),鼠标右键 Domain controllers 属性 ---- 组策略 ---- 双击组策略对象链接。
 

打开后如图所示,找到拒绝本地登录该策略后,双击打开
 

点击添加用户或组,将 Users 该组添加进去或者 Domain Users 也可以,因为 Domain Users 隶属于 Users
 
禁止管理员在域控制器上登录后,接下来我们来禁止所有域用户在域内本地登录。
步骤和我们刚刚做的一样,右键域的属性,打开组策略对象连接。
 
找到拒绝本地用户登录该策略
 
添加 Users
 
禁止域中所有用户本地登录的操作已经完成。
接下来我们创建几个组织单位留着测试用,当然这个过程可不是那个坏人做的。
 
如图所示,我们创建了两个组织单位,每个组织单位都有一个用户。
 
接下来我们在域控制器和成员控制器上,对我们刚刚作的组策略进行刷新一下。
 
然后,注销域控制器,在登录时你会发现,它提示“此系统的本地策略不允许你交互登录”,在域控制器上已经登录不去啦!在域成员服务器试一下能进去吗?
 
如图所示我们已经看到,域成员也已经进不去啦!
 
假如你是这台域控制器的管理员,那你会怎么解决这个问题呢?那还是先听我说吧!按理说管理员是知道自己的帐户和密码的,知道这个就好办啦,我们只要修改它的策略,然后 telnet 到这个计算机刷新一下组策略就 OK 啦吗。那如何修改目标计算机的策略呢?组策略配置文件又在什么地方呢?知道这一点很重要。今天的重点就要开始啦!
大致的过程是这样:
1   找到组策略的配置文件
2   修改组策略配置
3   telnet 到远程计算机
4   应用新的组策略配置
一、找到组策略的配置文件
组策略的配置文件它是一个名为 SYSVOL 的共享文件,它在 C:\Windows\sysvol 目录下;知道这一点还等什么?赶紧去 Berlin 上找到该文件,我们先找到一台同一子网的主机,在这儿我们用 florence 来担任这台主机,把 IP 改为 192.168.11.103 ,先 PING 一下是否能联系上 BERLIN ,然后再去访问。
 
如图所示文件已经找到,怎么修改呢?
 
二、修改组策略的配置文件
依次展开 sysvol\itat.com\policies\{6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\windows nt\secedit 该目录后,就可以看到策略的配置文件,这只是禁止在域控制器级别上登录的本地策略
 
打开该文件找到“ SeDenyInteractiveLogonRight ”策略,删除右侧的红框里的 SID 即可,然后保存回原位置
  解开拒绝本地登录的“死结”_第1张图片
再依次展开 sysvol\itat.com\policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\windows nt\secedit 该目录下的配置文件是禁止域级别用户登录的策略配置文件
  解开拒绝本地登录的“死结”_第2张图片
打开该文件后同样也是找到“ SeDenyInteractiveLogonRight ”策略,删除右侧的红线上的 SID 即可,然后保存回原位置
  解开拒绝本地登录的“死结”_第3张图片
三、 telnet 到远程计算机
打开我的电脑管理,如图所示连接到另一台计算机。
 
输入远程计算机的计算机名或 IP 地址
 
如图所示已成功连接,然后点击服务找到 Telnet 服务并启用
 
Telnet 服务启用成功
 
我们再连接到 perth 上并启用 telnet 服务,如图所示服务启用成功
 
四、应用新的策略配置
服务启用成功后,我们就可以登录到远程计算机啦!
 
登录成功后,输入 gpupdate  /force 刷新一下计算机策略,如图所示提示刷新用户策略失败,没关系我们来到 berlin 上登录一下是可以进去的。

看,我们的域管理员进去了吧!
 
当你再刷新的时候,就不会再失败了。
 
我们再 TELNET perth
 
刷新一下策略
 
策略刷新完成,我们再来到 perth 上登录
 
域成员也进去啦吗!
试验到此结束,如有问题请留言……谢谢!