企业中的一名员工更改了组策略中的用户设置,这些设置会影响pipe理员用户的login权限。
每次我尝试在本地login显示此消息:
您无法login,因为您使用的login方法在此计算机上不被允许
互联网上的所有解决scheme在Windows内部工作,但我只能访问命令提示符(通过使用修复向导)。
我该怎么办?
我想你说有人修改了一个组策略对象,拒绝“Administrators”组的成员有权在域中的一些计算机子集上本地login。 如果这不正确,请澄清你的问题。
如果我处于这种情况,我将使用本地用户帐户(或使用非域成员计算机)login到计算机,并使用LDAP浏览器(如Windows支持工具中的ldp.exe )访问Active Directoryfind违规的组策略对象的GUID。 如果您不熟悉LDAP目录的查询,那么无可否认,要逐步指导您将是相当困难的。 基本上,您可以在域的“CN = System,CN = Policies”容器下查找具有混乱设置的GPO(可能通过检查GPO的“displayName”属性)。 这会给你的GPO的GUID。
一旦你得到了GUID,我会将一个“驱动器”映射到域控制器(DC)上的SYSVOL共享(使用NET USE x: \\domain\sysvol /user:domain\domain-admin-username ) 。 然后,我将浏览到“驱动器”,“domain.com”子文件夹,“政策”子文件夹,对应于混乱的GPO的GUID,“机器”子文件夹,“Windows NT”子文件夹和“SecEdit”子文件夹。
在该文件夹中,您将find一个GptTmpl.inf文件。 在“记事本”中打开该文件,find以SeDenyInteractiveLogonRight开头的行。 删除该行并保存该文件。
在5分钟内(赔率在2.5分钟内),修改了SYSVOL的DC将刷新组策略并允许您login。 当更改复制到其他DC的SYSVOL,并且刷新其组策略的成员计算机也将接受更改。
您可以通过search包含stringSeDenyInteractiveLogonRight GptTmpl.inf文件的域SYSVOL共享来放弃在LDAP目录上的search,但是如果您拥有合法包含该string的GPO,则可能会“破坏”它们。
不pipe你做什么,一定要记下你正在改变的内容,这样你才能回退你所做的任何不正确的改变。