4、用户所用帐号口令为空。
若终端服务器为03,用户使用此服务器上的本地帐号、且口令为空,通过TS登录。由于03本地安全策略/本地策略/安全选项/帐户:使用空白密码的本地帐户只允许进行控制台登录,默认启用,这将会阻止用户登录。解决办法:使用非空密码或禁用此策略。
顺便提一下,这也是常见的通过网络访问XP/03上的共享资源,不通的原因之一。
5、所用帐号属性/终端服务配置文件/“允许登录到终端服务器”选项。
这个选项,默认就是选中的,除非有人动过。解决办法:手动选中即可。
6、还有两种可能:
(1)2000:未安装TS服务;03:未启用远程桌面
(2)03:启用了ICF,但未设允许RDP进入
Q6、在2000(也仅是2000)中由于禁止本地登录权利而导致的所有用户、管理员无法登录。
在安全策略/本地策略/用户权利分配下有两条策略:
¨拒绝本地登录,默认为“未定义”。
¨允许在本地登录,其默认值分别为:
u本地计算机策略:Administrators、Backup Operators、Power Users、Users
u默认域的策略:未定义
u默认域控制器的策略:Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname
说明:如果在同一级别上、对同一对象(用户或组)、同时设置了“允许”和“拒绝”,“拒绝”权利的优先级别高。也就是说二者冲突时,“拒绝”权利生效。
假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员,又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录,出错提示为:“此系统的本地策略不允许您采用交互式登录”,也就没办法将策略设置改回正常了。
这种情形看起来像一个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。
问题还是有办法解决的,分别讨论如下:
一、被域策略和域控制器策略所阻止
显然你应该是被域策略和域控制器策略同时阻止了登录权利,因为:
1、如果只是域策略阻止,由于默认域控制器的策略上允许Administrators登录,而域控制器(Domain Controllers)是个OU,前面我们讲过组策略的LSDOU原则,所以管理员可以登录到DC上,把策略改回去。
2、如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。
要解决被域策略和域控制器策略同时阻止,首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中,位于DC的winntsysvolsysvol中,以GUID为文件夹名。”其中安全设置部分保存在DC的winntsysvolsysvol你的域名Policies策略的 GUIDMACHINEMicrosoftWindows NTSecEditGptTmpl.inf这个安全模板文件中。它实质就是一个文本文件,可利用记事本进行编辑。
说明:前面我们介绍过,默认域的策略、默认域控制器的策略使用固定的GUID,分别是:
¨默认域的策略的GUID为31B
¨默认域控制器的策略的GUID为
可以利用C盘的隐含共享C$,或winntsysvolsysvol的共享sysvol连过去,直接编辑,具体操作如下:
1、在另一台联网的计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC。
2、利用记事本打开GptTmpl.inf文件。
3、找到文件中[Privilege Rights]小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字,进行编辑即可。如:
¨使SeDenyInteractiveLogonRight所等于的值为空。
¨保证SeInteractiveLogonRight= *S-
4、保存退出。
说明:
1、关于各SID所表示的意义,参见前面的表格。SID前面的*要保留,系统执行时才不会其后面的SID当作具体的用户/组的名字。
2、如果域中不止一台DC,为保证DC同步时刚才所做的修改最终生效(原理同授权恢复),需要:
(1)打开winntsysvolsysvol你的域名Policies刚刚所修改策略的 GUID GPT.INI文件
(2)找到文件中的[General]小节下的“Version”,手动将其值增大,通常是加10000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。
(3)保存退出。
5、重新启动DC,域策略将被刷新。
说明:也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必重启DC了。但需要用到telnet,细节参考前面telnet命令和接下来的内容。
6、以域管理员身份在DC上正常登录到域,重新设置安全域策略中的相关项目。
二、被本地安全策略所阻止
很多人都会想到利用MMC远程管理功能,重设目标机的安全策略。具体操作如下:
开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机,如果有权限的话,你会发现你能找到并管理其它的策略设置,但是就是没有安全策略等项目出现在列表中。
这是由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理。而且本地安全策略设置的实现也与域策略不同,它存放在一个二进制的安全数据库secedit.sdb。
那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上,利用前面我们介绍过secedit命令导出安全设置到安全模板,即扩展名为.inf的文本文件中。利用记事本编辑后,再利用secedit命令将修改后的安全设置配置给计算机,这样也就大功告功了。但如果故障计算机上的telnet服务没有启动,那么我们应该首先把故障计算机上telnet服务启动起来,才能连过去。
说明:因为telnet服务的启动类型,默认为手动,所以正常情况下它是不会启动的。此时连过去的出错信息为:正在连接以xxx不能打开到主机的连接,在端口23:连接失败。
综上所述,具体解决办法如下:
1、在另一台联网的计算机(2000/XP/03均可)上,修改其管理员密码,使用户名和口令均与故障计算机上的相同。(这主要为了方便,若在连接或使用的时候输入目标计算机上的用户名和口令,也可以)
2、注销后,重新登录进来。
3、我的电脑/右键/管理,打开计算机管理。
