在Windows2000中，如果某個用戶被取消了本地登錄權限，當這個用戶本地登錄計算機時，系統就會提示“此系統的本地策略不允許您采用交互式登錄”，導致登錄失敗。遇到這種情況，通常請管理員在組策略中重新設置一下，將該用戶從“拒絕本地登錄”列表中刪除或添加到“在本地登錄”列表中即可。但如果因為操作失誤或其它方面的原因，我們將所有用戶的本地登錄權限都禁止了(通常是禁止了users組（非域環境下）或domain users組（域環境下）)，那就有點麻煩了。這種情形看起來像一個解不開的“死結”：要解除禁止本地登錄的組策略設置，必須以管理員身份本地登錄；要以管理員身份本地登錄，就必須先解除禁止本地登錄的組策略設置。

但實際上，事情并沒有我們想象的那么糟。經過查詢相關資料和測試，我發現借助網絡的幫助,這個“死結”還是可以解開的。因為域安全策略與本地安全策略的數據保存機制不同，下面分兩種情況分別進行說明。

被域策略拒絕本地登錄時的解決辦法

域策略的安全設置部分都保存在一個名為“GptTmpl.inf”的安全模板中，這是一個文本文件，存放在DC（域控制器）的SYSVOL（物理目錄指向DC的“c:\winnt\sysvol\sysvol”）共享中。要解除對所有用戶本地登錄限制，在不能本地登錄的情況下，最快捷的辦法可能就是直接編輯這個文本文件。

具體操作如下：

* 在另一臺計算機（Win9X/2000/XP均可）上，使用域管理員賬號連接到DC的SYSVOL共享，在“\\\sysvol\\Policies\\MACHINE\Microsoft\Windows NT\SecEdit”下找到該文本文件“GptTmpl.inf”。(路徑中的“DC name”是你放置該組策略的域控制器的名字，“Domain name”是你的域的名字，“Policy GUID”是你要編輯的組策略對象的GUID，類似于“{31B2F340-016D-11D2-945F-05C04FB98439}”)。

* 使用記事本打開“GptTmpl.inf”文件，找到文件中“Privilege Rights”小節下的 “SeDenyInteractiveLogonRight”關鍵字，它的值就是被拒絕本地登錄的用戶或組的SID，將這些SID刪除，使 “SeDenyInteractiveLogonRight”關鍵字的值為空。修改完畢將文件保存回原位置。

* 使用記事本打開位于“\\\sysvol\\Policies\”下的 “GPT.INI”文件，提高“General”小節下的“Version”關鍵字的值，通常是加1000。這是我們修改的這個組策略對象的版本號，版本號提高后可以保證我們的更改被復制到其它DC上。修改完畢將文件保存回原位置。

* 域策略刷新后，問題即告解決。

* 本地登錄DC重新設置域策略中的相關項目。

被本地安全策略拒絕本地登錄時的解決辦法

由于在Windows2000中，不支持對計算機本地策略的安全設置部分進行遠程管理（詳見組策略白皮書），而且本地安全策略的安全設置通常存放在一個二進制的安全數據庫secedit.sdb中，這個安全數據庫的結構我們無從知道，因此象第一部分那樣直接編輯secedit.sdb文件的辦法是無能為力了，我們需要采用迂回進攻的策略，“曲線救國”。

具體操作如下：

* 假設故障計算機的IP地址是“192.168.0.111”。在另一臺計算機(Windows9X/2000/XP均可)上，使用“Telnet 192.168.0.111”命令使用管理員賬號連接到故障計算機。（如果故障計算機的telnet“服務沒有啟動”，可以通過網絡使用服務MMC啟動，具體方法不在詳述）

* 通過Telnet在故障計算機上執行“net share tmp$=d:\tmp”命令，將故障計算機上的“d:\tmp”隱藏共享為“tmp$”，共享權限缺省是everyone完全控制（此時要特別注意網絡安全）。當然你也可以共享其它的目錄。

* 通過Telnet在故障計算機上執行“secedit /export /CFG d:\tmp\sec.inf”命令，將故障計算機的本地安全策略配置導入“d:\tmp\sec.inf”安全模板文件中，這是一個文本文件。

* 連接到故障計算機上的tmp$共享，用記事本打開共享文件夾中的“sec.inf”文件。找到文件中“Privilege Rights”小節下的“SeDenyInteractiveLogonRight”關鍵字，它的值就是被拒絕本地登錄的用戶或組的SID，將這些SID刪除，使“SeDenyInteractiveLogonRight”關鍵字的值為空或者是隨便另設置一個無關的值。文件修改完畢保存回原位置。

* 通過Telnet在故障計算機上執行“secedit /configure /db c:\secedit.sdb /CFG d:\tmp\sec.inf”命令，使用新的安全模板和安全數據庫重新配置故障計算機的本地安全策略。

* 通過Telnet在故障計算機上執行“secedit /refreshpolicy machine_policy /enforce”命令，強制在故障計算機上刷新策略設置，問題即告解決。

* 本地登錄故障計算機后，刪除我們建立的Tmp$共享，重新設置本地安全策略中的相關項目。

Secedit簡介

Secedit.exe，Windows2000自帶的自動化安全配置任務命令行工具，功能強大。我們可以用它來分析系統的安全性、配置系統安全性、刷新安全性設置、導出安全性設置和驗證安全配置文件。它的具體用法請使用“secedit /?”查看其幫助文件。

補充說明

上面所說的兩種方法，都是以有權限用戶（如管理員）沒有被禁止從網絡登錄為前提的，如果你的策略把從網絡登錄也禁止了，讓故障計算機成了真正的“孤家寡人”，那問題解決起來要麻煩的多，但同樣不是一個解不開的“死結”。

責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001