企业的一名员工更改了组策略中的用户设置,这影响了管理员用户的登录权限。
每次我尝试本地登录时都会显示此消息:
您无法登录,因为此计算机不允许使用您使用的登录方法
互联网上的所有解决方案都在 Windows 中起作用,但我只能访问命令提示符(通过使用修复向导)。
我应该怎么办?
答案1
我认为您说的是有人修改了组策略对象,从而拒绝“管理员”组的成员在域中的某些计算机子集上本地登录的权限。如果这不正确,请在您的问题中澄清。
如果我处于这种情况,我会使用本地用户帐户登录到计算机(或使用非域成员计算机),并使用 LDAP 浏览器(例如ldp.exe来自 Windows 支持工具)访问 Active Directory 以找到有问题的组策略对象的 GUID。如果您不熟悉查询 LDAP 目录,那么,诚然,逐步指导您将相当困难。基本上,您将在域的“CN=System,CN=Policies”容器下查找具有混乱设置的 GPO(可能通过检查 GPO 的“displayName”属性)。这将为您提供 GPO 的 GUID。
获得 GUID 后,我会将“驱动器”映射至域控制器 (DC) 上的 SYSVOL 共享 (使用NET USE x: \\domain\sysvol /user:domain\domain-admin-username)。然后,我会浏览该“驱动器”、“domain.com”子文件夹、“Policies”子文件夹、与混乱的 GPO 的 GUID 对应的文件夹、“Machine”子文件夹、“Windows NT”子文件夹和“SecEdit”子文件夹。
在该文件夹中,您将找到一个GptTmpl.inf文件。在“记事本”中打开该文件,然后找到以 开头的行SeDenyInteractiveLogonRight。删除该行并保存文件。
5 分钟后(几率在 2.5 分钟内),您修改 SYSVOL 的 DC 将刷新组策略并允许您登录。当更改复制到其他 DC 的 SYSVOL 时,正在刷新其组策略的成员计算机也将获取更改。
您可以放弃在 LDAP 目录中进行搜索,只需在域 SYSVOL 共享中搜索包含GptTmpl.inf该字符串的文件SeDenyInteractiveLogonRight即可,但如果您拥有合法包含该字符串的 GPO,则可能会有“破坏”它们的风险。
无论您做什么,请务必记下您在执行此操作时所做的更改,以便您可以撤消所做的任何不正确的更改。