故障现象:
在12月13日,主域服务器的管理员无法登陆,提示“此系统的本地策略不允许您采用交互式登录”,导致登陆失败,用别的用户也出现相同提示,无法登陆。
故障分析:
造成这个现象的原因是由于误操作使用域策略把USERS组拒绝本地登陆。域策略的安全设置部分都保存在一个名为“GptTmpl.inf”的安全模板中,这是一个文本文件,存放在DC(域控制器)的SYSVOL中(物理目录指向DC的“c:\winnt\sysvol\sysvol”),这个文件夹是默认共享的,可以从网上邻居中访问,但只有管理员组的用户对它有写的权限。要解除对所有用户本地登录限制,在不能本地登录的情况下,最快捷的办法可能就是远程直接编辑这个文本文件。
故障解决:
因为策略没有禁止网络登陆,我们可以从网上邻居中访问八厂域控制器找到GptTmpl.inf文件编辑它。具体操作如下:
1.在另外一台计算机上用八厂域管理员的身份登陆,从网上邻居中打开八厂域控制器,在“\\mksfserver\sysvol\mksfserver\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows
NT\SecEdit”下找到“GptTmpl.inf文件”。
2.打开“GptTmpl.inf”文件,找到文件中“Privilege Rights”小节下的
“SeDenyInteractiveLogonRight”关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使“SeDenyInteractiveLogonRight”关键字的值为空。修改完毕将文件保存回原位置