域控制器对于系统管理员来说至关重要,但是在域控制器出现故障时往往也非常令人烦恼,下面就是解决域控制器故障的实例介绍。
故障现象:
某公司办公局域网基于Windows2000Server系统,由于管理员的误操作将域控制器中的所有用户(包括管理员)的本地登录权限禁止了。现在所有的用户(包括管理员)都无法本地登录域控制器,出错提示为“此系统的本地策略不允许你采用交互式登录”。请问这个问题应该如何解决?
解决方法:
根据故障描述可以判断出在“域安全策略”和“域控制器安全策略”中同时禁止了本地登录权限。因为如果只是“域安全策略”禁止,由于域控制器是个OU(组织单元),而根据组策略的LSDOU原则,Administrators组的成员是可以登录域控制器的进而重新编辑策略;如果只是“域控制器安全策略”禁止,则该策略只对域控制器生效,管理员可以从域内的其它计算机登录到域来编辑策略。
要解决被“域安全策略”和“域控制器安全策略”同时禁止的问题,首先必须明确策略设置值存储在GPT(位于域控制器的winnt/sysvol/sysvol文件夹中,以GUID为文件夹名)中。其中安全设置部分保存在域控制器的“winnt/sysvol/sysvol/域名/Pllicies/策略的GUID/MACHINE/Microsoft/WindowsNT/SecEdit/GptTmpl.inf”这个安全模版文件中,该文件实质是一个文本文件,可利用记事本进行编辑。默认域的策略和默认域控制器的策略使用固定的GUID,其中默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9,默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
明确了上述文件的作用和位置后,可以利用C盘的隐含共享C$或winnt/sysvol/sysvol/的共享sysvol连接域控制器编辑该文件。
具体操作步骤如下:
第1步,在任意一台域成员计算机上以域管理员的身份登录到域,并通过共享连接到域控制器。找到安全模板文件GptTmpl.inf。
第2步,利用记事本打开GptTmpl.inf文件,找到文件中[PrivilegeRights]小节下的拒绝本地登录SeDenyInteractiveLogonRight和允许在本地登录SeInteractiveLogonRight关键字进行编辑。例如,使SeDenyInteractiveLogonRight所等于的值为空,保证SeInteractiveLogonRight=*S-l-5-32-544,……,***保存文件。
如果域中不止一台域控制器,则为了保证域控制器同步时使所做的修改最终生效,需要打开“winnt/sysvol/sysvol/域名/Policies/刚修改策略的GUID/GPT.INI”文件,找到文件中[General]小节下的Version,手动将其值增大(通常是增加10000)。该值是所修改的这个组策略对象的版本号,版本号提高后可以保证更改被复制到其它DC上。保存文件后重新启动域控制器,则域策略将被刷新。
总结:
希望本文介绍的所有域用户不能登录域控制器的故障解决的方法能够对读者有所帮助,更多有关操作系统的知识还有待于读者去探索和学习。
【编辑推荐】