被组策略拒绝本地登录一直是件比较令人头疼的事情。本文将介绍一种所有用户都被拒绝本地登录后的解决方法。
如果某个用户被取消了本地登录权限,当这个用户本地登录计算机时,系统就会提示“此系统的本地策略不允许您采用交互式登录”,导致登录失败。遇到这种情况,通常请管理员在组策略中重新设置一下,将该用户从“拒绝本地登录”列表中删除或添加到“在本地登录”列表中即可。但如果因为操作失误或其它方面的原因,我们将所有用户的本地登录权限都禁止了(通常是禁止了users组(非域环境下)或domain users组(域环境下)),那就有点麻烦了。这种情形看起来像一个解不开的“死结”:要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。
但实际上,事情并没有我们想象的那么糟。经过查询相关资料和测试,我发现借助网络的帮助,这个“死结”还是可以解开的。今天我就主要说一下具体的步骤,对他的原理占不做讨论。而且我是在实验环境下做的,至于生产环境中有多大的把握我不敢肯定,因为本人也是一个初学者,
事故是这样的:虚拟机florence为域控制器,istanbul为一个站点在域控制器上的域功能级别like abc.com和domain controllers 上设置组策略拒绝本地登录刷新一下,gpupdate/force
,注销后在登录发现一个“本地策略不允许您采用交互式登录”的对话框,在istanbul上同样如此,这时候另开一台虚拟机perth把他的ip设成跟florence一样的网段,注意dns; 接下来右击我的电脑,点击管理,打开计算机管理对话框,右击计算机管理(本地),点击连接到另一台计算机,在打开的对话框中输入florence 的ip、确定。出现一个对话框在服务和应用程序中选择服务这一项,在右边框里找到telnet项右击选属性、把禁用改成自动、确定,在右击选择启动、确定,
接下来,找到系统工具下的共享文件夹下的共享项,单击打开,找到以下路径sysvol\abc.com\policies\,下面有两个子文件({6AC1786C-016F-11DZ-945F-00C04-FB984F9}还有一个文件夹和这个类似,在它下面找到以下路径MACHINE\MICROSOFT\WINDOWSNT\SECEDIT\gptTMPL.inf的文件,打开它,(不管提示什么打开就行),会发现很长的字符串,在编辑栏中选择查找键入以下内容sednyinteractivelogonrig找到后发现它后面有很长的一串字符,没关系使他的值等于空就可以了保存退出。再找到另一个{}内相同路径下的文件用同样的方法使sednyinteractivelogonrig=空。(空是什么都没有,你可别打个空上去)就可以了保存退出,不保存一切都白干了,千万记得保存。
然后在开始运行下键入cmd,在打开的命令行中键入telnet florenced的ip地址,在出现的命令行后会提示你选择y/n选择y就行了然后在gpupdate/force 也就是把他的策略给刷新一下,提示刷新失败什么的不用理他,
在计算机管理中选择连接到另一台计算机键入istanbul的ip 在开始运行下cmd,步骤和上面的差不多telnetistanbul的ip接下来的命令行gpupdate/force 刷新一下,搞定了他会提示你说什么找不到路径之类的,反正我试了两次,发现它是在骗人
接着你可以试试在florence和Istanbul上能不能登陆了,简单吧
