解開拒絕本地登錄的“死結”

今天我們來研究一下，在windows 2003 中有人禁止域中所有用戶本地登錄后，我們的解決方案！以下是我們這個方案的拓撲結構，拓撲圖看起來可能不太規(guī)范，我給大家解釋一下吧！firenze是一臺DNS服務器，Berlin是域控制器，Perth是成員服務器，它們都隸屬于ITAT.COM域內(nèi)，florence是一臺與ITAT.COM域內(nèi)的計算機同一個子網(wǎng)，而不同域內(nèi)的主機。

?

假如有人在你們公司的域控制器上做了如下操作，如圖所示，我們先來禁止管理員在域控制器上登錄（默認情況下普通域用戶是沒有權限在域控制器上登錄的），鼠標右鍵Domain controllers屬性----組策略----雙擊組策略對象鏈接。

?

打開后如圖所示，找到拒絕本地登錄該策略后，雙擊打開

?

點擊添加用戶或組，將Users該組添加進去或者Domain Users也可以，因為Domain Users 隸屬于Users。

?

禁止管理員在域控制器上登錄后，接下來我們來禁止所有域用戶在域內(nèi)本地登錄。

步驟和我們剛剛做的一樣，右鍵域的屬性，打開組策略對象連接。

?

找到拒絕本地用戶登錄該策略

?

添加Users組

?

禁止域中所有用戶本地登錄的操作已經(jīng)完成。

接下來我們創(chuàng)建幾個組織單位留著測試用，當然這個過程可不是那個壞人做的。

?

如圖所示，我們創(chuàng)建了兩個組織單位，每個組織單位都有一個用戶。

?

接下來我們在域控制器和成員控制器上，對我們剛剛作的組策略進行刷新一下。

?

然后，注銷域控制器，在登錄時你會發(fā)現(xiàn)，它提示“此系統(tǒng)的本地策略不允許你交互登錄”，在域控制器上已經(jīng)登錄不去啦！在域成員服務器試一下能進去嗎？

?

如圖所示我們已經(jīng)看到，域成員也已經(jīng)進不去啦！

?

假如你是這臺域控制器的管理員，那你會怎么解決這個問題呢？那還是先聽我說吧！按理說管理員是知道自己的帳戶和密碼的，知道這個就好辦啦，我們只要修改它的策略，然后telnet到這個計算機刷新一下組策略就OK啦嗎。那如何修改目標計算機的策略呢？組策略配置文件又在什么地方呢？知道這一點很重要。今天的重點就要開始啦！

大致的過程是這樣：

1?? 找到組策略的配置文件

2?? 修改組策略配置

3?? telnet到遠程計算機

4?? 應用新的組策略配置

一、找到組策略的配置文件

組策略的配置文件它是一個名為SYSVOL的共享文件，它在C:\Windows\sysvol目錄下；知道這一點還等什么？趕緊去Berlin上找到該文件，我們先找到一臺同一子網(wǎng)的主機，在這兒我們用florence來擔任這臺主機，把IP改為192.168.11.103，先PING一下是否能聯(lián)系上BERLIN，然后再去訪問。

?

如圖所示文件已經(jīng)找到，怎么修改呢？

?

二、修改組策略的配置文件

依次展開sysvol\itat.com\policies\{6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\windows nt\secedit該目錄后，就可以看到策略的配置文件，這只是禁止在域控制器級別上登錄的本地策略

?

打開該文件找到“SeDenyInteractiveLogonRight”策略，刪除右側的紅框里的SID即可，然后保存回原位置

?

再依次展開sysvol\itat.com\policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\windows nt\secedit該目錄下的配置文件是禁止域級別用戶登錄的策略配置文件

?

打開該文件后同樣也是找到“SeDenyInteractiveLogonRight”策略，刪除右側的紅線上的SID即可，然后保存回原位置

?

三、telnet到遠程計算機

打開我的電腦管理，如圖所示連接到另一臺計算機。

?

輸入遠程計算機的計算機名或IP地址

?

如圖所示已成功連接，然后點擊服務找到Telnet服務并啟用

?

Telnet服務啟用成功

?

我們再連接到perth上并啟用telnet服務，如圖所示服務啟用成功

?

四、應用新的策略配置

服務啟用成功后，我們就可以登錄到遠程計算機啦！

?

登錄成功后，輸入gpupdate? /force刷新一下計算機策略，如圖所示提示刷新用戶策略失敗，沒關系我們來到berlin上登錄一下是可以進去的。

看，我們的域管理員進去了吧！

?

當你再刷新的時候，就不會再失敗了。

?

我們再TELNET到perth上

?

刷新一下策略

?

策略刷新完成，我們再來到perth上登錄

?

域成員也進去啦嗎！

試驗到此結束，如有問題請留言……謝謝！

轉載于:https://blog.51cto.com/yangxuejun/126484

總結

以上是生活随笔為你收集整理的解开拒绝本地登录的“死结”的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。