拒绝本地登录,急啊!
我的WIN2000 SERVER拒绝本地登录,就是修改了本地策略组引起的,并且把策略把从网络登录也禁止了.所以用以下办法都不行了!
1.. 在另一台计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC的SYSVOL共享,在“\\\sysvol\\Policies\GUID>\MACHINE\Microsoft\Windows NT\SecEdit”下找到该文本文件“GptTmpl.inf”。(路径中的“DC name”是你放置该组策略的域控制器的名字,“Domain name”是你的域的名字,“Policy GUID”是你要编辑的组策略的GUID,类似于“{31B2F340-016D-11D2-945F-05C04FB98439}”)。
2.. 使用记事本打开“GptTmpl.inf”文件,找到文件中“PrivilegeRights”小节下的“SeDenyInteractiveLogonRight”关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使“SeDenyInteractiveLogonRight”关键字的值为空。修改完毕将文件保存回原位置。
3.. 使用记事本打开位于“\\\sysvol\name>\Policies\”下的“GPT.INI”文件,提高“General”小节下的“Version”关键字的值,通常是加1000。这是我们修改的这个组策略的版本号,
版本号提高后可以保证我们的更改被复制到其它DC上。修改完毕将文件保存回原位置。
4.. 域策略刷新后,问题即告解决。
5.. 本地登录DC重新设置域策略中的相关项目 。
被本地安全策略拒绝本地登录时的解决办法
解决被本地安全策略拒绝本地登录的最正统的方法,应该是使用另一台Windows2000计算机,使用组策略MMC管理单元通过网络连接到故障计算机的本地安全策略,然后进行修改。但我测试后发现,使用这种方法成功的机率非常小(具体的原因也不十分的明了),不是连接不上故障计算机,就是打不开故障计算机上本地安全策略的安全设置。因此我们还需要一个更稳妥些的解决方法。
本地安全策略的安全设置通常存放在一个二进制的安全数据库secedit.sdb中,这个安全数据库的结构我们无从知道,因此象第一部分那样直接编辑secedit.sdb文件的办法是无能为力了,我们需要采用迂回进攻的策略,“曲线救国”。
具体操作如下:
1.. 假设故障计算机的IP地址是"192.168.0.111"。在另一台计算机(Windows9X/2000/XP均可)上,使用“Telnet 192.168.0.111”命令使用管理员账号连
接到故障计算机。(如果故障计算机的“telnet”服务没有启动,可以通过网络启动,具体方法不在详述)
2.. 通过telnet在故障计算机上执行“net share tmp$=d:\tmp”命令,将故障计算机上的“d:\tmp”隐藏共享为“tmp$”,共享权限缺省是everyone完全控制(此时要特别注意网络安全)。当然你也可以共享其它的目录。
3.. 通过telnet在故障计算机上执行“secedit /export /CFG
d:\tmp\sec.inf”命令,将故障计算机的本地安全策略配置导入“d:\tmp\sec.inf”安全模板文件中,这是一个文本文件。
4.. 连接到故障计算机上的tmp$共享,用记事本打开共享文件夹中的“sec.inf”文件。找到文件中“Privilege Rights”小节下的“SeDenyInteractiveLogonRight”关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使“SeDenyInteractiveLogonRight”关键字的值为空或者是随便另设置一个无关的值。文件修改完毕保存回原位置。
5.. 通过telnet在故障计算机上执行“secedit /configure /db
c:\secedit.sdb /CFG d:\tmp\sec.inf”命令,使用新的安全模板和安全数据库重新配置故障计算机的本地安全策略。
6.. 通过telnet在故障计算机上执行“secedit /refreshpolicy
machine_policy /enforce”命令,强制在故障计算机上刷新策略设置,问题即告解决。
7. 本地登录故障计算机后,删除我们建立的Tmp$共享,重新设置本地安全策略中的相关项目
通过其它电脑连不上这台服务器!
请问各位高人们怎么办啊!?我可不想再装服务器了!
谢谢啊!