故障现象:
2003年12月13日,主域服务器的管理员无法登录,提示“此系统的本地策略不允许交互式登录”,因此登录失败,其他用户也出现了同样的提示,无法登录。
故障排除:
出现此现象的原因是USERS组错误地使用域策略拒绝了本地登录。 域策略的所有安全设置都存储在名为GptTmpl.inf的安全模板中。 这是一个文本文件,存储在域控制器(DC )的SYSVOL中。 (物理目录指向DC上的“c:winntsysvolsysvol”。 默认情况下,要取消所有用户的本地登录限制,如果无法进行本地登录,则此文件夹远程直接编辑此文本文件可能是最快的方法。
故障排除:
由于策略不禁止网络登录,因此您可以通过网络邻居访问八工厂域控制器来定位和编辑GptTmpl.inf文件。 具体操作如下。
1 .在另一台计算机上,以八厂域管理员身份登录,从网上邻居打开八厂域控制器,然后单击“ mksfserversysvolmksfserverpolicies { 6ac 1786 c-}
在" NTSecEdit "下,找到" GptTmpl.inf文件"。
2 .打开“GPT tmpl.INF”文件,然后单击该文件“权限”部分下的
SeDenyInteractiveLogonRight关键字。 该关键字的值是被拒绝本地登录的用户或组的SID。 删除这些SID,并将" SeDenyInteractiveLogonRight "关键字的值留空。 修改完成后,将文件保存到其原始位置。
3 .然后用记事本打开“ mksfserversysvolmksfserverpolicies{ 6ac 1786 c-016 f-11 D2-945 f-00 c 04 FB 984 F9 }”下的
GPT.INI文件增加" General "部分下的" Version "关键字的值。 通常加1000。 这是我们修改的这个组策略对象的版本号。 当版本号上升时,我可以保证我们的更改会被复制到其他DC。 修改完成后,将文件保存到其原始位置。
4 .更新域策略后(时间不长),管理员即可本地登录到主域服务器。
说明:
仅当域策略导致用户无法本地登录时,此方法才适用。 普通的Windows2000使用本地安全策略而不是DC来禁止用户本地登录。 Windows2000不支持对计算机本地策略的安全设置部分进行远程管理,因为域安全策略和本地安全策略的数据保留机制不同,所以通常情况下,本地安全策略的我们不知道这个安全数据库的结构。 因此,不能像第一部分那样直接编辑安全模板文件。 当然,这种情况也有解决办法。 具体方法可以咨询微软的网站,这里不再详细说明。