解開拒絕本地登錄的“死結”

　　在Windows 2000環境下，被組策略拒絕本地登錄一直是件比較令人頭疼的事情。本文將介紹一種所有用戶都被拒絕本地登錄后的解決方法。
　　在Windows2000中，如果某個用戶被取消了本地登錄權限，當這個用戶本地登錄計算機時，系統就會提示“此系統的本地策略不允許您采用交互式登錄”，導致登錄失敗。遇到這種情況，通常請管理員在組策略中重新設置一下，將該用戶從“拒絕本地登錄”列表中刪除或添加到“在本地登錄”列表中即可。但如果因為操作失誤或其它方面的原因，我們將所有用戶的本地登錄權限都禁止了(通常是禁止了users組（非域環境下）或domain users組（域環境下）)，那就有點麻煩了。這種情形看起來像一個解不開的“死結”：要解除禁止本地登錄的組策略設置，必須以管理員身份本地登錄；要以管理員身份本地登錄，就必須先解除禁止本地登錄的組策略設置。但實際上，事情并沒有我們想象的那么糟。經過查詢相關資料和測試，我發現借助網絡的幫助,這個“死結”還是可以解開的。因為域安全策略與本地安全策略的數據保存機制不同，下面分兩種情況分別進行說明。

被域策略拒絕本地登錄時的解決辦法

　　域策略的安全設置部分都保存在一個名為“GptTmpl.inf”的安全模板中，這是一個文本文件，存放在DC（域控制器）的SYSVOL（物理目錄指向DC的“c:\winnt\sysvol\sysvol”）共享中。要解除對所有用戶本地登錄限制，在不能本地登錄的情況下，最快捷的辦法可能就是直接編輯這個文本文件。
　　具體操作如下：

　　1.. 在另一臺計算機（Win9X/2000/XP均可）上，使用域管理員賬號連接到DC的SYSVOL共享，在“\\\sysvol\\Policies\GUID>\MACHINE\Microsoft\Windows NT\SecEdit”下找到該文本文件“GptTmpl.inf”。(路徑中的“DC name”是你放置該組策略的域控制器的名字，“Domain name”是你的域的名字，“Policy GUID”是你要編輯的組策略的GUID，類似于“{31B2F340-016D-11D2-945F-05C04FB98439}”)。
　　2.. 使用記事本打開“GptTmpl.inf”文件，找到文件中“PrivilegeRights”小節下的“SeDenyInteractiveLogonRight”關鍵字，它的值就是被拒絕本地登錄的用戶或組的SID，將這些SID刪除，使“SeDenyInteractiveLogonRight”關鍵字的值為空。修改完畢將文件保存回原位置。
　　3.. 使用記事本打開位于“\\\sysvol\name>\Policies\”下的“GPT.INI”文件，提高“General”小節下的“Version”關鍵字的值，通常是加1000。這是我們修改的這個組策略的版本號，版本號提高后可以保證我們的更改被復制到其它DC上。修改完畢將文件保存回原位置。
　　4.. 域策略刷新后，問題即告解決。
　　5.. 本地登錄DC重新設置域策略中的相關項目 。

被本地安全策略拒絕本地登錄時的解決辦法

　　解決被本地安全策略拒絕本地登錄的最正統的方法，應該是使用另一臺Windows2000計算機，使用組策略MMC管理單元通過網絡連接到故障計算機的本地安全策略，然后進行修改。但我測試后發現，使用這種方法成功的機率非常?。ň唧w的原因也不十分的明了），不是連接不上故障計算機，就是打不開故障計算機上本地安全策略的安全設置。因此我們還需要一個更穩妥些的解決方法。
　　本地安全策略的安全設置通常存放在一個二進制的安全數據庫secedit.sdb中，這個安全數據庫的結構我們無從知道，因此象第一部分那樣直接編輯secedit.sdb文件的辦法是無能為力了，我們需要采用迂回進攻的策略，“曲線救國”。

　　具體操作如下：

　　1.. 假設故障計算機的IP地址是"192.168.0.111"。在另一臺計算機(Windows9X/2000/XP均可)上，使用“Te.net 192.168.0.111”命令使用管理員賬號連
接到故障計算機。（如果故障計算機的“telnet”服務沒有啟動，可以通過網絡啟動，具體方法不在詳述）
　　2.. 通過telnet在故障計算機上執行“net share tmp$=d:\tmp”命令，將故障計算機上的“d:\tmp”隱藏共享為“tmp$”，共享權限缺省是everyone完全控制（此時要特別注意網絡安全）。當然你也可以共享其它的目錄。
　　3.. 通過telnet在故障計算機上執行“secedit /export /CFG
d:\tmp\sec.inf”命令，將故障計算機的本地安全策略配置導入“d:\tmp\sec.inf”安全模板文件中，這是一個文本文件。
　　4.. 連接到故障計算機上的tmp$共享，用記事本打開共享文件夾中的“sec.inf”文件。找到文件中“Privilege Rights”小節下的“SeDenyInteractiveLogonRight”關鍵字，它的值就是被拒絕本地登錄的用戶或組的SID，將這些SID刪除，使“SeDenyInteractiveLogonRight”關鍵字的值為空或者是隨便另設置一個無關的值。文件修改完畢保存回原位置。
　　5.. 通過telnet在故障計算機上執行“secedit /configure /db
c:\secedit.sdb /CFG d:\tmp\sec.inf”命令，使用新的安全模板和安全數據庫重新配置故障計算機的本地安全策略。
　　6.. 通過telnet在故障計算機上執行“secedit /refreshpolicy
machine_policy /enforce”命令，強制在故障計算機上刷新策略設置，問題即告解決。
　　7. 本地登錄故障計算機后，刪除我們建立的Tmp$共享，重新設置本地安全策略中的相關項目。

　　secedit簡介

　　Secedit.exe，Windows2000自帶的自動化安全配置任務命令行工具，功能強大。我們可以用它來分析系統的安全性、配置系統安全性、刷新安全性設置、導出安全性設置和驗證安全配置文件。它的具體用法請使用“secedit /?”查看其幫助文件。

　　補充說明

　　上面所說的兩種方法，都是以有權限用戶（如管理員）沒有被禁止從網絡登錄為前提的，如果你的策略把從網絡登錄也禁止了，讓故障計算機成了真正的“孤家寡人”，那問題解決起來要麻煩的多，但同樣不是一個解不開的“死結”。具體的解決辦法，我會另具文說明，在此不再細說。

原文轉自：http://www.kjueaiud.com