被本地安全策略拒绝本地登录时的解决办法
由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理(详见组策略白皮书),而且本地安全策略的安全设置通常存放在一个二进制的安全数据库 b中,这个安全数据库的结构我们无从知道,因此象第一部分那样直接编辑 b文件的办法是无能为力了,我们需要采用迂回进攻的策略,"曲线救国"。
具体操作如下:
假设故障计算机的IP地址是" "。在另一台计算机(Windows9X/2000/XP均可)上,使用"Telnet "命令使用管理员账号连接到故障计算机。(如果故障计算机的telnet"服务没有启动,可以通过网络使用"服务"MMC启动,具体方法不在详述)
通过telnet在故障计算机上执行"net share tmp$=d:\tmp"命令,将故障计算机上的"d:\tmp"隐藏共享为"tmp$",共享权限缺省是everyone完全控制(此时要特别注意网络安全)。
当然你也可以共享其它的目录。
通过telnet在故障计算机上执行"secedit /export /CFG d:\tmp\ f"命令,将故障计算机的本地安全策略配置导入"d:\tmp\ f"安全模板文件中,这是一个文本文件。
连接到故障计算机上的tmp$共享,用记事本打开共享文件夹中的" f"文件。
找到文件中"Privilege Rights"小节下的“SeDenyInteractiveLogonRight"关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使"SeDenyInteractiveLogonRight"关键字的值为空或者是随便另设置一个无关的值。
文件修改完毕保存回原位置。
通过telnet在故障计算机上执行"secedit /configure /db c:\ b /CFG d:\tmp\ f"命令,使用新的安全模板和安全数据库重新配置故障计算机的本地安全策略。
通过telnet在故障计算机上执行"secedit /refreshpolicy machine_policy /enforce"命令,强制在故障计算机上刷新策略设置,问题即告解决。
本地登录故障计算机后,删除我们建立的Tmp$共享,重新设置本地安全策略中的相关项目。
--------------------------------------------------------------------------------
secedit简介
secedit。
exe,Windows2000自带的自动化安全配置任务命令行工具,功能强大。我们可以用它来分析系统的安全性、配置系统安全性、刷新安全性设置、导出安全性设置和验证安全配置文件。它的具体用法请使用"secedit /?"查看其帮助文件。
--------------------------------------------------------------------------------
上面转帖于微软的,具体地址是:
此系统的本地策略不允许您采用交互式登录解决方法:
这个方法是搜索到的,你可以先用微软给出的方法,不行再看下面这个地址的解决方法。
。
全部
