这是为什么?
现在登陆不了计算机啊!!!
大家帮帮忙!!!
18 个解决方案
#1
急,为什么啊,在线等。。
#2
不知道
#3
作者:张东辉 黑龙江省大庆油田高级人才培训中心
问:在2000(也仅是2000)中由于禁止本地登录权利而导致的所有用户、管理员无法登录,如何解决?
答:在安全策略/本地策略/用户权利分配下有两条策略:
拒绝本地登录,默认为“未定义”。
允许在本地登录,其默认值分别为:
本地计算机策略:Administrators、Backup Operators、Power Users、Users
默认域的策略:未定义
默认域控制器的策略:Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname
说明:如果在同一级别上、对同一对象(用户或组)、同时设置了“允许”和“拒绝”,“拒绝”权利的优先级别高。也就是说二者冲突时,“拒绝”权利生效。
假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员,又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录,出错提示为:“此系统的本地策略不允许您采用交互式登录”,也就没办法将策略设置改回正常了。
这种情形看起来像一个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。
问题还是有办法解决的,分别讨论如下:
一、被域策略和域控制器策略所阻止
显然你应该是被域策略和域控制器策略同时阻止了登录权利,因为:
1、如果只是域策略阻止,由于默认域控制器的策略上允许Administrators登录,而域控制器(Domain Controllers)是个OU,前面我们讲过组策略的LSDOU原则[注1],所以管理员可以登录到DC上,把策略改回去。
2、如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。
要解决被域策略和域控制器策略同时阻止,首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中,位于DC的winnt\sysvol\sysvol中,以GUID为文件夹名。”[注2]其中安全设置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf这个安全模板文件中。它实质就是一个文本文件,可利用记事本进行编辑。
说明:前面我们介绍过,默认域的策略、默认域控制器的策略使用固定的GUID,分别是:
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
可以利用C盘的隐含共享C$,或winnt\sysvol\sysvol的共享sysvol连过去,直接编辑,具体操作如下:
1、在另一台联网的计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC。
2、利用记事本打开GptTmpl.inf文件。
3、找到文件中[Privilege Rights]小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字,进行编辑即可。如:
使SeDenyInteractiveLogonRight所等于的值为空。
保证SeInteractiveLogonRight= *S-1-5-32-544,……
4、保存退出。
说明:
A、关于各SID所表示的意义,参见前面的表格[注3]。SID前面的*要保留,系统执行时才不会其后面的SID当作具体的用户/组的名字。
B、如果域中不止一台DC,为保证DC同步时刚才所做的修改最终生效(原理同授权恢复),需要:
(1)打开winnt\sysvol\sysvol\你的域名\Policies\刚刚所修改策略的 GUID\ GPT.INI文件
(2)找到文件中的[General]小节下的“Version”,手动将其值增大,通常是加10000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。
(3)保存退出。
5、重新启动DC,域策略将被刷新。
说明:也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必重启DC了。但需要用到telnet,细节参考前面telnet命令和接下来的内容。
6、以域管理员身份在DC上正常登录到域,重新设置安全域策略中的相关项目。
问:在2000(也仅是2000)中由于禁止本地登录权利而导致的所有用户、管理员无法登录,如何解决?
答:在安全策略/本地策略/用户权利分配下有两条策略:
拒绝本地登录,默认为“未定义”。
允许在本地登录,其默认值分别为:
本地计算机策略:Administrators、Backup Operators、Power Users、Users
默认域的策略:未定义
默认域控制器的策略:Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname
说明:如果在同一级别上、对同一对象(用户或组)、同时设置了“允许”和“拒绝”,“拒绝”权利的优先级别高。也就是说二者冲突时,“拒绝”权利生效。
假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员,又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录,出错提示为:“此系统的本地策略不允许您采用交互式登录”,也就没办法将策略设置改回正常了。
这种情形看起来像一个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。
问题还是有办法解决的,分别讨论如下:
一、被域策略和域控制器策略所阻止
显然你应该是被域策略和域控制器策略同时阻止了登录权利,因为:
1、如果只是域策略阻止,由于默认域控制器的策略上允许Administrators登录,而域控制器(Domain Controllers)是个OU,前面我们讲过组策略的LSDOU原则[注1],所以管理员可以登录到DC上,把策略改回去。
2、如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。
要解决被域策略和域控制器策略同时阻止,首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中,位于DC的winnt\sysvol\sysvol中,以GUID为文件夹名。”[注2]其中安全设置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf这个安全模板文件中。它实质就是一个文本文件,可利用记事本进行编辑。
说明:前面我们介绍过,默认域的策略、默认域控制器的策略使用固定的GUID,分别是:
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
可以利用C盘的隐含共享C$,或winnt\sysvol\sysvol的共享sysvol连过去,直接编辑,具体操作如下:
1、在另一台联网的计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC。
2、利用记事本打开GptTmpl.inf文件。
3、找到文件中[Privilege Rights]小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字,进行编辑即可。如:
使SeDenyInteractiveLogonRight所等于的值为空。
保证SeInteractiveLogonRight= *S-1-5-32-544,……
4、保存退出。
说明:
A、关于各SID所表示的意义,参见前面的表格[注3]。SID前面的*要保留,系统执行时才不会其后面的SID当作具体的用户/组的名字。
B、如果域中不止一台DC,为保证DC同步时刚才所做的修改最终生效(原理同授权恢复),需要:
(1)打开winnt\sysvol\sysvol\你的域名\Policies\刚刚所修改策略的 GUID\ GPT.INI文件
(2)找到文件中的[General]小节下的“Version”,手动将其值增大,通常是加10000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。
(3)保存退出。
5、重新启动DC,域策略将被刷新。
说明:也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必重启DC了。但需要用到telnet,细节参考前面telnet命令和接下来的内容。
6、以域管理员身份在DC上正常登录到域,重新设置安全域策略中的相关项目。
#4
你是2k server吧?
本地策略设置问题
使用administrator登陆呢?
本地策略设置问题
使用administrator登陆呢?
#5
二、被本地安全策略所阻止
很多人都会想到利用MMC远程管理功能,重设目标机的安全策略。具体操作如下:
开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机,如果有权限的话,你会发现你能找到并管理其它的策略设置,但是就是没有安全策略等项目出现在列表中。
这是由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理。而且本地安全策略设置的实现也与域策略不同,它存放在一个二进制的安全数据库secedit.sdb。
那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上,利用前面我们介绍过secedit命令导出安全设置到安全模板,即扩展名为.inf的文本文件中。利用记事本编辑后,再利用secedit命令将修改后的安全设置配置给计算机,这样也就大功告功了。但如果故障计算机上的telnet服务没有启动,那么我们应该首先把故障计算机上telnet服务启动起来,才能连过去。
说明:因为telnet服务的启动类型,默认为手动,所以正常情况下它是不会启动的。此时连过去的出错信息为:正在连接以xxx不能打开到主机的连接,在端口23:连接失败。
综上所述,具体解决办法如下:
1、在另一台联网的计算机(2000/XP/03均可)上,修改其管理员密码,使用户名和口令均与故障计算机上的相同。(这主要为了方便,若在连接或使用的时候输入目标计算机上的用户名和口令,也可以)
2、注销后,重新登录进来。
3、我的电脑/右键/管理,打开计算机管理。
4、在计算机管理上/右键/连接到另一台计算机:故障计算机IP。
5、在服务下找到telnet,手动将它启动起来。
接下来使用telnet连接过来
6、开始/运行:cmd,键入telnet 目标IP
7、在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。
8、点击开始/运行:\\目标IP\C$,双击c:\sectmp.inf,用记事本打开。
9、编辑sectmp.inf文件,具体同前面情况一的步骤3
10、回到步骤7的命令窗口,键入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf将修改后的设置值,配置给计算机。
11、运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必故障计算机了。
12、以本地管理员身份在故障计算机上正常登录到域,重新设置安全域策略中的相关项目。
最后说明一下:
对于XP/03不存在上述问题,微软已经修正了这个问题。用户不能阻止所有人或管理员登录,在图形界面下根本设不上;使用其它手段强行设上了也不起作用。因此大家可以想一想,针对上面第一种情况,实际上可以加一台XP/03到2000域,在XP/03上登录到域,将其解开。
本例的实际排错意义并不大,但建议大家最好还是能把这个实验做一下,因为它涉及到了很多知识点,如:基于域安全策略、本地安全策略的实施原理,组策略及其优先级,权利、SID,还有同名同口令帐户登录、telnet、secedit工具的使用等等。再有大家也可以做一下实验,既然我们能通过网络解开,同样也能通过网络设上。
[注1]:组策略设置的默认优先级是:LSDOU原则,本地策略优先级最低。可通过阻止继承(将阻止所有策略继承)、禁止替代(也就是必须继承,针对某个具体的GPO来设置)、组策略筛选器(实质为GPO权限)改变默认的优先级。
[注2]组策略对象(GPO)包括组策略容器(GPC)和组策略模板(GPT)两部分。GPC位于AD用户和计算机/System/Policies(需要选中查看下的高级功能),仅是GPO的属性和版本信息,计算机通过GPC来查找GPT。具体的策略设置值存储在GPT中,位于DC的windows\sysvol\sysvol下,以GUID为文件夹名。注意安装AD系统自带的两个GPO,使用固定的GUID,分别是:
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
[注3]
安全标识符 (SID)。形如:
S-1-5-21-1553226038-2352558368-427082893-500
其中S-1-5表示NT Authority(标识符颁发机构);上例中的21-1553226038-2352558368- 427082893为这个域的SID(每个域不同),在这个位置还可能是32(表示本地/域内置的本地组,都只能在DC/本机上使用,重复无妨,所以都是32),也可能是本机的SID;后面跟的500表示administrator用户。
SID
名称
描述
S-1-5-域-500
Administrator
管理员帐户
S-1-5-域-501
Guest
供来宾访问计算机或访问域的内置帐户
S-1-5-域-502
krbtgt
密钥分发中心(KDC) 服务使用的服务帐户
其它还有:Domain Admins(512),Domain Users(513),Domain Guests(514)。用户帐户、全局组可在林内或有信任关系的其它域使用,所以域间不可重复。
S-1-5-域-515
Domain Computers
一个包括加入域的所有客户端和服务器的全局组
S-1-5-域-516
Domain Controllers
一个包括域中所有域控制器的全局组。
默认情况下,新的域控制器将添加到该组中。
S-1-5-根域-518
Schema Admins
域为混合模式时为全局组,纯模式时为通用组。默认成员林根域的 Administrator。被授权更改AD架构。
S-1-5-根域-519
Enterprise Admins
域为混合模式时为全局组,纯模式时为通用组。
默认成员林根域的 Administrator。
被授权更改AD林结构,例如添加子域,删除域。
S-1-5-32-544
Administratrs
域/本地管理员组,都只能在DC/本机使用,重复无妨。
其它还有:Users(545),Guests(546),Power Users (547),Account Operators(548),Server Operators(549),Print Operators(550),Backup Operators (551),Replicators(552),Remote Desktop Users(555)。都只能在本域内使用,域间重复无妨。
S-1-1-0
Everyone
包括所有用户(甚至匿名用户和来宾)的组。成员身份由操作系统控制。在03中管理员可决定是否包括Guest。
S-1-5-6
Service
一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
S-1-5-7
Anonymous
一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
S-1-5-18
Local System
操作系统使用的服务帐户。
S-1-5-19
Local Service
本地服务
S-1-5-20
Network Service
网络服务
很多人都会想到利用MMC远程管理功能,重设目标机的安全策略。具体操作如下:
开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机,如果有权限的话,你会发现你能找到并管理其它的策略设置,但是就是没有安全策略等项目出现在列表中。
这是由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理。而且本地安全策略设置的实现也与域策略不同,它存放在一个二进制的安全数据库secedit.sdb。
那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上,利用前面我们介绍过secedit命令导出安全设置到安全模板,即扩展名为.inf的文本文件中。利用记事本编辑后,再利用secedit命令将修改后的安全设置配置给计算机,这样也就大功告功了。但如果故障计算机上的telnet服务没有启动,那么我们应该首先把故障计算机上telnet服务启动起来,才能连过去。
说明:因为telnet服务的启动类型,默认为手动,所以正常情况下它是不会启动的。此时连过去的出错信息为:正在连接以xxx不能打开到主机的连接,在端口23:连接失败。
综上所述,具体解决办法如下:
1、在另一台联网的计算机(2000/XP/03均可)上,修改其管理员密码,使用户名和口令均与故障计算机上的相同。(这主要为了方便,若在连接或使用的时候输入目标计算机上的用户名和口令,也可以)
2、注销后,重新登录进来。
3、我的电脑/右键/管理,打开计算机管理。
4、在计算机管理上/右键/连接到另一台计算机:故障计算机IP。
5、在服务下找到telnet,手动将它启动起来。
接下来使用telnet连接过来
6、开始/运行:cmd,键入telnet 目标IP
7、在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。
8、点击开始/运行:\\目标IP\C$,双击c:\sectmp.inf,用记事本打开。
9、编辑sectmp.inf文件,具体同前面情况一的步骤3
10、回到步骤7的命令窗口,键入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf将修改后的设置值,配置给计算机。
11、运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必故障计算机了。
12、以本地管理员身份在故障计算机上正常登录到域,重新设置安全域策略中的相关项目。
最后说明一下:
对于XP/03不存在上述问题,微软已经修正了这个问题。用户不能阻止所有人或管理员登录,在图形界面下根本设不上;使用其它手段强行设上了也不起作用。因此大家可以想一想,针对上面第一种情况,实际上可以加一台XP/03到2000域,在XP/03上登录到域,将其解开。
本例的实际排错意义并不大,但建议大家最好还是能把这个实验做一下,因为它涉及到了很多知识点,如:基于域安全策略、本地安全策略的实施原理,组策略及其优先级,权利、SID,还有同名同口令帐户登录、telnet、secedit工具的使用等等。再有大家也可以做一下实验,既然我们能通过网络解开,同样也能通过网络设上。
[注1]:组策略设置的默认优先级是:LSDOU原则,本地策略优先级最低。可通过阻止继承(将阻止所有策略继承)、禁止替代(也就是必须继承,针对某个具体的GPO来设置)、组策略筛选器(实质为GPO权限)改变默认的优先级。
[注2]组策略对象(GPO)包括组策略容器(GPC)和组策略模板(GPT)两部分。GPC位于AD用户和计算机/System/Policies(需要选中查看下的高级功能),仅是GPO的属性和版本信息,计算机通过GPC来查找GPT。具体的策略设置值存储在GPT中,位于DC的windows\sysvol\sysvol下,以GUID为文件夹名。注意安装AD系统自带的两个GPO,使用固定的GUID,分别是:
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
[注3]
安全标识符 (SID)。形如:
S-1-5-21-1553226038-2352558368-427082893-500
其中S-1-5表示NT Authority(标识符颁发机构);上例中的21-1553226038-2352558368- 427082893为这个域的SID(每个域不同),在这个位置还可能是32(表示本地/域内置的本地组,都只能在DC/本机上使用,重复无妨,所以都是32),也可能是本机的SID;后面跟的500表示administrator用户。
SID
名称
描述
S-1-5-域-500
Administrator
管理员帐户
S-1-5-域-501
Guest
供来宾访问计算机或访问域的内置帐户
S-1-5-域-502
krbtgt
密钥分发中心(KDC) 服务使用的服务帐户
其它还有:Domain Admins(512),Domain Users(513),Domain Guests(514)。用户帐户、全局组可在林内或有信任关系的其它域使用,所以域间不可重复。
S-1-5-域-515
Domain Computers
一个包括加入域的所有客户端和服务器的全局组
S-1-5-域-516
Domain Controllers
一个包括域中所有域控制器的全局组。
默认情况下,新的域控制器将添加到该组中。
S-1-5-根域-518
Schema Admins
域为混合模式时为全局组,纯模式时为通用组。默认成员林根域的 Administrator。被授权更改AD架构。
S-1-5-根域-519
Enterprise Admins
域为混合模式时为全局组,纯模式时为通用组。
默认成员林根域的 Administrator。
被授权更改AD林结构,例如添加子域,删除域。
S-1-5-32-544
Administratrs
域/本地管理员组,都只能在DC/本机使用,重复无妨。
其它还有:Users(545),Guests(546),Power Users (547),Account Operators(548),Server Operators(549),Print Operators(550),Backup Operators (551),Replicators(552),Remote Desktop Users(555)。都只能在本域内使用,域间重复无妨。
S-1-1-0
Everyone
包括所有用户(甚至匿名用户和来宾)的组。成员身份由操作系统控制。在03中管理员可决定是否包括Guest。
S-1-5-6
Service
一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
S-1-5-7
Anonymous
一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
S-1-5-18
Local System
操作系统使用的服务帐户。
S-1-5-19
Local Service
本地服务
S-1-5-20
Network Service
网络服务
#6
有人在本地安全策略中屏蔽了当前帐户, 换其它帐户试试
#7
作者:张东辉 黑龙江省大庆油田高级人才培训中心
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
?????????????????????
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
?????????????????????
#8
哪需要贴这么多,就是组策略里设定了某些用户才能登陆,用administrator登陆本机看看
#9
如果administrator也登陆不了本机呢??
#10
作者:
什么帐户出现的问题都一样!!!
什么帐户出现的问题都一样!!!
#11
安全策略->本地策略->用户权利指派->“在本地登录”进行相应的修改即可。
#12
lifus(火冰) : 你的方法必须要有一个管理员账号能登陆才行,楼主估计是所有的账号都不能本地登录了!
#13
rrhrrhf(人件): 用我转贴的文章还是不能解决吗??
#14
作者:张东辉 黑龙江省大庆油田高级人才培训中心
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
D 版
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
D 版
#15
凤凰(What Does "I Love You" Mean ?) : D版? 你怎么知道不是他写的?
#16
这种问题我也遇到过,,,
我解决不了重装了系统!
我解决不了重装了系统!
#17
通过大家的帮忙
这个问题已经解决了
但是我机子不知又中了什么代码(变得不能结贴了,“给分”点击没反应了)
导航栏也变没了
有的文件夹,如C:\program 和 winnt 里的文件都不能显示了 必须要在文件夹选项中,设为windows传统风格才能看见
晕哪,大家再帮帮忙吧
这个问题已经解决了
但是我机子不知又中了什么代码(变得不能结贴了,“给分”点击没反应了)
导航栏也变没了
有的文件夹,如C:\program 和 winnt 里的文件都不能显示了 必须要在文件夹选项中,设为windows传统风格才能看见
晕哪,大家再帮帮忙吧
#18
我也遇到这样的问题,我还是不懂,有人教我吗
#1
急,为什么啊,在线等。。
#2
不知道
#3
作者:张东辉 黑龙江省大庆油田高级人才培训中心
问:在2000(也仅是2000)中由于禁止本地登录权利而导致的所有用户、管理员无法登录,如何解决?
答:在安全策略/本地策略/用户权利分配下有两条策略:
拒绝本地登录,默认为“未定义”。
允许在本地登录,其默认值分别为:
本地计算机策略:Administrators、Backup Operators、Power Users、Users
默认域的策略:未定义
默认域控制器的策略:Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname
说明:如果在同一级别上、对同一对象(用户或组)、同时设置了“允许”和“拒绝”,“拒绝”权利的优先级别高。也就是说二者冲突时,“拒绝”权利生效。
假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员,又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录,出错提示为:“此系统的本地策略不允许您采用交互式登录”,也就没办法将策略设置改回正常了。
这种情形看起来像一个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。
问题还是有办法解决的,分别讨论如下:
一、被域策略和域控制器策略所阻止
显然你应该是被域策略和域控制器策略同时阻止了登录权利,因为:
1、如果只是域策略阻止,由于默认域控制器的策略上允许Administrators登录,而域控制器(Domain Controllers)是个OU,前面我们讲过组策略的LSDOU原则[注1],所以管理员可以登录到DC上,把策略改回去。
2、如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。
要解决被域策略和域控制器策略同时阻止,首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中,位于DC的winnt\sysvol\sysvol中,以GUID为文件夹名。”[注2]其中安全设置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf这个安全模板文件中。它实质就是一个文本文件,可利用记事本进行编辑。
说明:前面我们介绍过,默认域的策略、默认域控制器的策略使用固定的GUID,分别是:
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
可以利用C盘的隐含共享C$,或winnt\sysvol\sysvol的共享sysvol连过去,直接编辑,具体操作如下:
1、在另一台联网的计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC。
2、利用记事本打开GptTmpl.inf文件。
3、找到文件中[Privilege Rights]小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字,进行编辑即可。如:
使SeDenyInteractiveLogonRight所等于的值为空。
保证SeInteractiveLogonRight= *S-1-5-32-544,……
4、保存退出。
说明:
A、关于各SID所表示的意义,参见前面的表格[注3]。SID前面的*要保留,系统执行时才不会其后面的SID当作具体的用户/组的名字。
B、如果域中不止一台DC,为保证DC同步时刚才所做的修改最终生效(原理同授权恢复),需要:
(1)打开winnt\sysvol\sysvol\你的域名\Policies\刚刚所修改策略的 GUID\ GPT.INI文件
(2)找到文件中的[General]小节下的“Version”,手动将其值增大,通常是加10000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。
(3)保存退出。
5、重新启动DC,域策略将被刷新。
说明:也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必重启DC了。但需要用到telnet,细节参考前面telnet命令和接下来的内容。
6、以域管理员身份在DC上正常登录到域,重新设置安全域策略中的相关项目。
问:在2000(也仅是2000)中由于禁止本地登录权利而导致的所有用户、管理员无法登录,如何解决?
答:在安全策略/本地策略/用户权利分配下有两条策略:
拒绝本地登录,默认为“未定义”。
允许在本地登录,其默认值分别为:
本地计算机策略:Administrators、Backup Operators、Power Users、Users
默认域的策略:未定义
默认域控制器的策略:Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname
说明:如果在同一级别上、对同一对象(用户或组)、同时设置了“允许”和“拒绝”,“拒绝”权利的优先级别高。也就是说二者冲突时,“拒绝”权利生效。
假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员,又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录,出错提示为:“此系统的本地策略不允许您采用交互式登录”,也就没办法将策略设置改回正常了。
这种情形看起来像一个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。
问题还是有办法解决的,分别讨论如下:
一、被域策略和域控制器策略所阻止
显然你应该是被域策略和域控制器策略同时阻止了登录权利,因为:
1、如果只是域策略阻止,由于默认域控制器的策略上允许Administrators登录,而域控制器(Domain Controllers)是个OU,前面我们讲过组策略的LSDOU原则[注1],所以管理员可以登录到DC上,把策略改回去。
2、如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。
要解决被域策略和域控制器策略同时阻止,首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中,位于DC的winnt\sysvol\sysvol中,以GUID为文件夹名。”[注2]其中安全设置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf这个安全模板文件中。它实质就是一个文本文件,可利用记事本进行编辑。
说明:前面我们介绍过,默认域的策略、默认域控制器的策略使用固定的GUID,分别是:
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
可以利用C盘的隐含共享C$,或winnt\sysvol\sysvol的共享sysvol连过去,直接编辑,具体操作如下:
1、在另一台联网的计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC。
2、利用记事本打开GptTmpl.inf文件。
3、找到文件中[Privilege Rights]小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字,进行编辑即可。如:
使SeDenyInteractiveLogonRight所等于的值为空。
保证SeInteractiveLogonRight= *S-1-5-32-544,……
4、保存退出。
说明:
A、关于各SID所表示的意义,参见前面的表格[注3]。SID前面的*要保留,系统执行时才不会其后面的SID当作具体的用户/组的名字。
B、如果域中不止一台DC,为保证DC同步时刚才所做的修改最终生效(原理同授权恢复),需要:
(1)打开winnt\sysvol\sysvol\你的域名\Policies\刚刚所修改策略的 GUID\ GPT.INI文件
(2)找到文件中的[General]小节下的“Version”,手动将其值增大,通常是加10000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。
(3)保存退出。
5、重新启动DC,域策略将被刷新。
说明:也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必重启DC了。但需要用到telnet,细节参考前面telnet命令和接下来的内容。
6、以域管理员身份在DC上正常登录到域,重新设置安全域策略中的相关项目。
#4
你是2k server吧?
本地策略设置问题
使用administrator登陆呢?
本地策略设置问题
使用administrator登陆呢?
#5
二、被本地安全策略所阻止
很多人都会想到利用MMC远程管理功能,重设目标机的安全策略。具体操作如下:
开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机,如果有权限的话,你会发现你能找到并管理其它的策略设置,但是就是没有安全策略等项目出现在列表中。
这是由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理。而且本地安全策略设置的实现也与域策略不同,它存放在一个二进制的安全数据库secedit.sdb。
那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上,利用前面我们介绍过secedit命令导出安全设置到安全模板,即扩展名为.inf的文本文件中。利用记事本编辑后,再利用secedit命令将修改后的安全设置配置给计算机,这样也就大功告功了。但如果故障计算机上的telnet服务没有启动,那么我们应该首先把故障计算机上telnet服务启动起来,才能连过去。
说明:因为telnet服务的启动类型,默认为手动,所以正常情况下它是不会启动的。此时连过去的出错信息为:正在连接以xxx不能打开到主机的连接,在端口23:连接失败。
综上所述,具体解决办法如下:
1、在另一台联网的计算机(2000/XP/03均可)上,修改其管理员密码,使用户名和口令均与故障计算机上的相同。(这主要为了方便,若在连接或使用的时候输入目标计算机上的用户名和口令,也可以)
2、注销后,重新登录进来。
3、我的电脑/右键/管理,打开计算机管理。
4、在计算机管理上/右键/连接到另一台计算机:故障计算机IP。
5、在服务下找到telnet,手动将它启动起来。
接下来使用telnet连接过来
6、开始/运行:cmd,键入telnet 目标IP
7、在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。
8、点击开始/运行:\\目标IP\C$,双击c:\sectmp.inf,用记事本打开。
9、编辑sectmp.inf文件,具体同前面情况一的步骤3
10、回到步骤7的命令窗口,键入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf将修改后的设置值,配置给计算机。
11、运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必故障计算机了。
12、以本地管理员身份在故障计算机上正常登录到域,重新设置安全域策略中的相关项目。
最后说明一下:
对于XP/03不存在上述问题,微软已经修正了这个问题。用户不能阻止所有人或管理员登录,在图形界面下根本设不上;使用其它手段强行设上了也不起作用。因此大家可以想一想,针对上面第一种情况,实际上可以加一台XP/03到2000域,在XP/03上登录到域,将其解开。
本例的实际排错意义并不大,但建议大家最好还是能把这个实验做一下,因为它涉及到了很多知识点,如:基于域安全策略、本地安全策略的实施原理,组策略及其优先级,权利、SID,还有同名同口令帐户登录、telnet、secedit工具的使用等等。再有大家也可以做一下实验,既然我们能通过网络解开,同样也能通过网络设上。
[注1]:组策略设置的默认优先级是:LSDOU原则,本地策略优先级最低。可通过阻止继承(将阻止所有策略继承)、禁止替代(也就是必须继承,针对某个具体的GPO来设置)、组策略筛选器(实质为GPO权限)改变默认的优先级。
[注2]组策略对象(GPO)包括组策略容器(GPC)和组策略模板(GPT)两部分。GPC位于AD用户和计算机/System/Policies(需要选中查看下的高级功能),仅是GPO的属性和版本信息,计算机通过GPC来查找GPT。具体的策略设置值存储在GPT中,位于DC的windows\sysvol\sysvol下,以GUID为文件夹名。注意安装AD系统自带的两个GPO,使用固定的GUID,分别是:
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
[注3]
安全标识符 (SID)。形如:
S-1-5-21-1553226038-2352558368-427082893-500
其中S-1-5表示NT Authority(标识符颁发机构);上例中的21-1553226038-2352558368- 427082893为这个域的SID(每个域不同),在这个位置还可能是32(表示本地/域内置的本地组,都只能在DC/本机上使用,重复无妨,所以都是32),也可能是本机的SID;后面跟的500表示administrator用户。
SID
名称
描述
S-1-5-域-500
Administrator
管理员帐户
S-1-5-域-501
Guest
供来宾访问计算机或访问域的内置帐户
S-1-5-域-502
krbtgt
密钥分发中心(KDC) 服务使用的服务帐户
其它还有:Domain Admins(512),Domain Users(513),Domain Guests(514)。用户帐户、全局组可在林内或有信任关系的其它域使用,所以域间不可重复。
S-1-5-域-515
Domain Computers
一个包括加入域的所有客户端和服务器的全局组
S-1-5-域-516
Domain Controllers
一个包括域中所有域控制器的全局组。
默认情况下,新的域控制器将添加到该组中。
S-1-5-根域-518
Schema Admins
域为混合模式时为全局组,纯模式时为通用组。默认成员林根域的 Administrator。被授权更改AD架构。
S-1-5-根域-519
Enterprise Admins
域为混合模式时为全局组,纯模式时为通用组。
默认成员林根域的 Administrator。
被授权更改AD林结构,例如添加子域,删除域。
S-1-5-32-544
Administratrs
域/本地管理员组,都只能在DC/本机使用,重复无妨。
其它还有:Users(545),Guests(546),Power Users (547),Account Operators(548),Server Operators(549),Print Operators(550),Backup Operators (551),Replicators(552),Remote Desktop Users(555)。都只能在本域内使用,域间重复无妨。
S-1-1-0
Everyone
包括所有用户(甚至匿名用户和来宾)的组。成员身份由操作系统控制。在03中管理员可决定是否包括Guest。
S-1-5-6
Service
一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
S-1-5-7
Anonymous
一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
S-1-5-18
Local System
操作系统使用的服务帐户。
S-1-5-19
Local Service
本地服务
S-1-5-20
Network Service
网络服务
很多人都会想到利用MMC远程管理功能,重设目标机的安全策略。具体操作如下:
开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机,如果有权限的话,你会发现你能找到并管理其它的策略设置,但是就是没有安全策略等项目出现在列表中。
这是由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理。而且本地安全策略设置的实现也与域策略不同,它存放在一个二进制的安全数据库secedit.sdb。
那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上,利用前面我们介绍过secedit命令导出安全设置到安全模板,即扩展名为.inf的文本文件中。利用记事本编辑后,再利用secedit命令将修改后的安全设置配置给计算机,这样也就大功告功了。但如果故障计算机上的telnet服务没有启动,那么我们应该首先把故障计算机上telnet服务启动起来,才能连过去。
说明:因为telnet服务的启动类型,默认为手动,所以正常情况下它是不会启动的。此时连过去的出错信息为:正在连接以xxx不能打开到主机的连接,在端口23:连接失败。
综上所述,具体解决办法如下:
1、在另一台联网的计算机(2000/XP/03均可)上,修改其管理员密码,使用户名和口令均与故障计算机上的相同。(这主要为了方便,若在连接或使用的时候输入目标计算机上的用户名和口令,也可以)
2、注销后,重新登录进来。
3、我的电脑/右键/管理,打开计算机管理。
4、在计算机管理上/右键/连接到另一台计算机:故障计算机IP。
5、在服务下找到telnet,手动将它启动起来。
接下来使用telnet连接过来
6、开始/运行:cmd,键入telnet 目标IP
7、在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。
8、点击开始/运行:\\目标IP\C$,双击c:\sectmp.inf,用记事本打开。
9、编辑sectmp.inf文件,具体同前面情况一的步骤3
10、回到步骤7的命令窗口,键入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf将修改后的设置值,配置给计算机。
11、运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必故障计算机了。
12、以本地管理员身份在故障计算机上正常登录到域,重新设置安全域策略中的相关项目。
最后说明一下:
对于XP/03不存在上述问题,微软已经修正了这个问题。用户不能阻止所有人或管理员登录,在图形界面下根本设不上;使用其它手段强行设上了也不起作用。因此大家可以想一想,针对上面第一种情况,实际上可以加一台XP/03到2000域,在XP/03上登录到域,将其解开。
本例的实际排错意义并不大,但建议大家最好还是能把这个实验做一下,因为它涉及到了很多知识点,如:基于域安全策略、本地安全策略的实施原理,组策略及其优先级,权利、SID,还有同名同口令帐户登录、telnet、secedit工具的使用等等。再有大家也可以做一下实验,既然我们能通过网络解开,同样也能通过网络设上。
[注1]:组策略设置的默认优先级是:LSDOU原则,本地策略优先级最低。可通过阻止继承(将阻止所有策略继承)、禁止替代(也就是必须继承,针对某个具体的GPO来设置)、组策略筛选器(实质为GPO权限)改变默认的优先级。
[注2]组策略对象(GPO)包括组策略容器(GPC)和组策略模板(GPT)两部分。GPC位于AD用户和计算机/System/Policies(需要选中查看下的高级功能),仅是GPO的属性和版本信息,计算机通过GPC来查找GPT。具体的策略设置值存储在GPT中,位于DC的windows\sysvol\sysvol下,以GUID为文件夹名。注意安装AD系统自带的两个GPO,使用固定的GUID,分别是:
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
[注3]
安全标识符 (SID)。形如:
S-1-5-21-1553226038-2352558368-427082893-500
其中S-1-5表示NT Authority(标识符颁发机构);上例中的21-1553226038-2352558368- 427082893为这个域的SID(每个域不同),在这个位置还可能是32(表示本地/域内置的本地组,都只能在DC/本机上使用,重复无妨,所以都是32),也可能是本机的SID;后面跟的500表示administrator用户。
SID
名称
描述
S-1-5-域-500
Administrator
管理员帐户
S-1-5-域-501
Guest
供来宾访问计算机或访问域的内置帐户
S-1-5-域-502
krbtgt
密钥分发中心(KDC) 服务使用的服务帐户
其它还有:Domain Admins(512),Domain Users(513),Domain Guests(514)。用户帐户、全局组可在林内或有信任关系的其它域使用,所以域间不可重复。
S-1-5-域-515
Domain Computers
一个包括加入域的所有客户端和服务器的全局组
S-1-5-域-516
Domain Controllers
一个包括域中所有域控制器的全局组。
默认情况下,新的域控制器将添加到该组中。
S-1-5-根域-518
Schema Admins
域为混合模式时为全局组,纯模式时为通用组。默认成员林根域的 Administrator。被授权更改AD架构。
S-1-5-根域-519
Enterprise Admins
域为混合模式时为全局组,纯模式时为通用组。
默认成员林根域的 Administrator。
被授权更改AD林结构,例如添加子域,删除域。
S-1-5-32-544
Administratrs
域/本地管理员组,都只能在DC/本机使用,重复无妨。
其它还有:Users(545),Guests(546),Power Users (547),Account Operators(548),Server Operators(549),Print Operators(550),Backup Operators (551),Replicators(552),Remote Desktop Users(555)。都只能在本域内使用,域间重复无妨。
S-1-1-0
Everyone
包括所有用户(甚至匿名用户和来宾)的组。成员身份由操作系统控制。在03中管理员可决定是否包括Guest。
S-1-5-6
Service
一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
S-1-5-7
Anonymous
一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
S-1-5-18
Local System
操作系统使用的服务帐户。
S-1-5-19
Local Service
本地服务
S-1-5-20
Network Service
网络服务
#6
有人在本地安全策略中屏蔽了当前帐户, 换其它帐户试试
#7
作者:张东辉 黑龙江省大庆油田高级人才培训中心
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
?????????????????????
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
?????????????????????
#8
哪需要贴这么多,就是组策略里设定了某些用户才能登陆,用administrator登陆本机看看
#9
如果administrator也登陆不了本机呢??
#10
作者:
什么帐户出现的问题都一样!!!
什么帐户出现的问题都一样!!!
#11
安全策略->本地策略->用户权利指派->“在本地登录”进行相应的修改即可。
#12
lifus(火冰) : 你的方法必须要有一个管理员账号能登陆才行,楼主估计是所有的账号都不能本地登录了!
#13
rrhrrhf(人件): 用我转贴的文章还是不能解决吗??
#14
作者:张东辉 黑龙江省大庆油田高级人才培训中心
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
D 版
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
D 版
#15
凤凰(What Does "I Love You" Mean ?) : D版? 你怎么知道不是他写的?
#16
这种问题我也遇到过,,,
我解决不了重装了系统!
我解决不了重装了系统!
#17
通过大家的帮忙
这个问题已经解决了
但是我机子不知又中了什么代码(变得不能结贴了,“给分”点击没反应了)
导航栏也变没了
有的文件夹,如C:\program 和 winnt 里的文件都不能显示了 必须要在文件夹选项中,设为windows传统风格才能看见
晕哪,大家再帮帮忙吧
这个问题已经解决了
但是我机子不知又中了什么代码(变得不能结贴了,“给分”点击没反应了)
导航栏也变没了
有的文件夹,如C:\program 和 winnt 里的文件都不能显示了 必须要在文件夹选项中,设为windows传统风格才能看见
晕哪,大家再帮帮忙吧
#18
我也遇到这样的问题,我还是不懂,有人教我吗