1、在 win2003 的域環(huán)境下，組策略的使用讓我們能更方便的管理域內(nèi)的共享 資源以及域內(nèi)用戶的使用權(quán)限等諸多問題， 使管理員的日常維護效率大大提高， 但世間萬物皆有利弊，同樣人也一樣會犯錯誤，在日常的維護工作中，由于管 理員的疏忽操作導(dǎo)致的各種問題比比皆是。 下面我們就來討論一種看似比較棘 手的情況。在 win2003 中，當某個域中的用戶或本地用戶被策略拒絕了本地登陸的 權(quán)限，當這個用戶在域中的計算機登陸時會被提示“此系統(tǒng)的本地策略不允許 您采用交互式登錄”，使得用戶無法登陸本地計算機，同樣也不能登陸域，通 常遇到這種問題，我們的解決辦法是，用管理員賬號登陸域控制器，修改一下 策略，把此用戶

2、從“拒絕本地登錄”列表中刪除即可，但如果由于人為的操作 失誤，管理員把所以用戶的本地登陸權(quán)限都禁止了，導(dǎo)致了域中所有用戶都不 能本地登陸域內(nèi)計算機（包括域管理員以及本地管理員），這種情況就比較棘 手了，我們用什么方法能解決這看似不能解決的問題呢？通過查詢相關(guān)資料以及測試，我們知道所有策略的設(shè)置都保存在域控制 器（DC的windows文件夾下的sysvol文件夾下，以GUID為文件夾名，其中 安全設(shè)置部分保存在DC的域名策略的GUIDMACHINEMicrosoftwindows NTSecEditGptTmpl.inf 這個文件中， 這是 一個文本文件，能通過記事本編輯，要解除對所有用戶本地登

3、錄限制，我們只 需修改這個文本文件，把拒絕登陸的相關(guān)信息刪除就 OK了，而在默認情況下， 存放策略設(shè)置的sysvol這個文件夾在DC上是被共享的，那我們能不能用一臺 計算機通過網(wǎng)絡(luò)連接到DC的sysvol共享文件夾，遠程修改GptTmpl.inf文件， 從而解除本地登陸限制呢，下面我們就用虛擬機來做個實驗，來模擬一下這樣 的網(wǎng)絡(luò)環(huán)境，看看能不能達到我們預(yù)想的效果。通過查詢資料得知：?默認域的策略的 GUID為 31B2F340-016D-11D2-945F-00C04FB984F9?默認域控制器的策略的 GUID為 6AC1786C-016F-11D2-945F-00C04FB984F 9實驗

4、的拓撲環(huán)境如下：先部署一個域 ADTEST.COM用物理機做DNS IP 為 域中有兩臺計算機， Florence 為 DC， Berlin 為加入域的一臺 成員服務(wù)器， Perth 為一臺工作站。但 Perth 不能加入域，因為如果設(shè)置了禁 止本地登陸，Perth加入域后也不能登陸，我們要用Perth遠程登陸到DC來解 決這個問題，所以Perth只需把IP設(shè)置為與DC同一個網(wǎng)段，DNS都指向192. 即可。因本文主要討論的是后期修改策略的操作，前期的準備工作我就簡單介紹 一下，就不貼圖了哈1創(chuàng)建DNS區(qū)域： 修改NS記錄和S0A記錄，IP地址都應(yīng)解析 為 2在flore nee 創(chuàng)建域控制器

5、，記得要修改 Flore nee網(wǎng)卡的TCP/IP屬性， 應(yīng)該使用作為自己的DNS服務(wù)器。創(chuàng)建完畢后重啟flore nee并用管理員賬號登錄到域。3修改Berlin 的IP地址以及DNS地址，把其加入到 域中，使 其成為域的一個成員服務(wù)器好，至此前期的準備工作已經(jīng)完成，我們首先在florenee ( DQ上打開Active Directory用戶和計算機，先創(chuàng)建一個用戶user1Active Directory ffllP文件® 雜作直：聾看逍窗口宜藕助但）為氐如亡DSTHtory用戶和計算機卩匸| Uebfu 18吟對彖 - _J保存餡查詢_.三=単 I“口 Mthl Comput

6、ers詢 OomEri Con trailers-+I-二Foreign5ecuri(-yPrir cipals'已 Users其型a n新建對軟用尸WiHIT SSr-lTt 獰鬥“丙 ¥創(chuàng)建在：ait est. coift/lJs&r e姓.卜 s erl用戶登錄名Wind&ws 2COO以前版店）QQ ；ABTE£T卜 e erl姓名3用戶登錄名Of）.職消11| Jj然后可以在DC和Berlin上用管理員和userl登陸試一下，可以看到現(xiàn) 在登陸是沒有問題的下面我們來修改組策略，使所有用戶都不能本地登陸，為了能的達到預(yù)期效果，我們需要把域策略

7、和域控制器策略同時做禁止本地登陸的修改，因為如果只是域策略阻止，由于默認域控制器的策略上允許管理員登錄，而域控制器是個OU通過組策略的優(yōu)先級我們知道，0U的優(yōu)先級要高于域的優(yōu)先級，所以管理 員可以登錄到DC上，把策略改回去。而如果只是域控制器的策略阻止，它只對 DC生效。管理員可以在域內(nèi)的其它計算機上登錄到域，把策略改回去。打開打開Active Directory用戶和計算機，首先設(shè)置域策略，操作如下圖：爭Active Directory用戶和計算機E立件操作困査看竺窗口幫肋世)加-H is頁:ia 百固畫|釦 邁 渾渤 或石總Act;t Drectny用戶和計苴機LOF ad test, c

8、om S個對象 l± -l_|保存的查詢 白觀3 2j Bui伽 一 I Comput <31 Domain刃二I Foreign：j 二| Users婪型L描述制匹 戟0) 速接到域 屋接到域控制器© 提升域功能級別包 操作主機；EhbuiltinDoma n 容器qnecur.容暮Kiters wn 匚ontr.>容盟Defauit container for urgr,.* DeI祕jli ran?irfer for donr.Default container for seaCtsfeuk tsntainer fw u旳査署藝叢這里包腱窗口也；)刷新巧導(dǎo)

9、岀列表1)LdI ; ; ±J打幵當前詵攝的顯性頁-選組策略，點擊編輯adtesLcxnm 屈性常規(guī)齟簞略對竦鏈接第止替代已紮用Default Dofnain P*11.cy列裘中較高伉晝的爼策略對高前優(yōu)先叔. 由 FLORENCE, idlest, com 養(yǎng)潯這才對兼新逹® 1添加迦1編輯仗山向上，電)|選項肋iftld). |屬性一廠 |I齟吐弟昭遙荻追1317D>isum修改以下位置，在拒絕本地登陸位置雙擊打開，默認是沒有定義的，勾選“定義這些策略設(shè)置”，點擊“添加用戶或組”，因為domain user組包含了域內(nèi)的所有用戶，所以我們只需添加這個組即可文件&#

10、174;操作（A）萱看匸幫的出）e斗|圍甌I X窗甩I會策昭I舉I備份文件和目錄 畫刨逢抵記對掠 囲創(chuàng)建全局對象 圜刨逢頁面文件 嘯創(chuàng)建永久共至對揑 囲從擴展塢中取出計算機 圏從阿皓訪簡此計苴林 矍從遠程乘筑強制關(guān)機 謳I調(diào)試桎序 鋤調(diào)整進程的內(nèi)薦配顛 磁更改贏渤間 霞I關(guān)閉來統(tǒng) 團管理串核和安全日志戴 Default Domain Pobcy FLORENCE.;A- 口 '/Jindos 設(shè)査腳本尼動;'關(guān)機a三層安全設(shè)晝國帳尸策瑤3 /本地策曙 i左搭審夜策略-、 用尸權(quán)限忌配、I r+i I畝詡爭件日志t L3受限制的爼i C9丟址服務(wù)田-C9崔冊表+： T無熾網(wǎng)箱JI

11、EEE訓 i 公鑰策弗 審-匚1軟件限制策曙 窮魁A寶全策略J在4 +菅理頊換 二屈用戶配置s- U軟件設(shè)置市_ Windows設(shè)置干口管理模擾liei丈臺計算機觀柜絕作為服語登錄 閔拒絕作曲攏處理作業(yè)登錄 畫內(nèi)存中鎖定頁面配置單一譜程翩身份驗證后礁迪客尸靖 :園主成妄全審複 闔替換蛙程軌另I標衛(wèi) 應(yīng)跳過遑歷檢查'nan ini74 axi nn h jli-1- j斤 vw"='FI確定后回到Active Directory用戶和計算機，用同樣的方法在DomainDon trollers（域控制器）級別上設(shè)置同樣的組策略。完成后我們需要使設(shè)置馬上生效，需刷新組策略，在 DC和Berlin上用gpupdate /force 命令刷新策略， 完成后注銷登陸，在DC和 Berlin上用管理員和user1登陸，現(xiàn)在可以看到兩臺 計算機都已經(jīng)無法本地登陸了。爰錄到WirtdoVKWCHHrtTWindows Se” Enterprise Editionft 1 Sfii-34(