組政策被鎖定後的簡單解決辦法

被組政策拒絕本地登入一直是件比較令人頭疼的事情。本文将介紹一種所有使用者都被拒絕本地登入後的解決方法。

如果某個使用者被取消了本地登入權限，當這個使用者本地登入計算機時，系統就會提示“此系統的本地政策不允許您采用互動式登入”，導緻登入失敗。遇到這種情況，通常請管理者在組政策中重新設定一下，将該使用者從“拒絕本地登入”清單中删除或添加到“在本地登入”清單中即可。但如果因為操作失誤或其它方面的原因，我們将所有使用者的本地登入權限都禁止了(通常是禁止了users組（非域環境下）或domain users組（域環境下）)，那就有點麻煩了。這種情形看起來像一個解不開的“死結”：要解除禁止本地登入的組政策設定，必須以管理者身份本地登入；要以管理者身份本地登入，就必須先解除禁止本地登入的組政策設定。

但實際上，事情并沒有我們想象的那麼糟。經過查詢相關資料和測試，我發現借助網絡的幫助,這個“死結”還是可以解開的。今天我就主要說一下具體的步驟，對他的原理占不做讨論。而且我是在實驗環境下做的，至于生産環境中有多大的把握我不敢肯定，因為本人也是一個初學者，

事故是這樣的：虛拟機florence為域控制器，istanbul為一個站點在域控制器上的域功能級别like abc.com和domain controllers 上設定組政策拒絕本地登入重新整理一下，gpupdate/force ,登出後在登入發現一個“本地政策不允許您采用互動式登入”的對話框，在istanbul上同樣如此，這時候另開一台虛拟機perth把他的ip設成跟florence一樣的網段，注意dns; 接下來右擊我的電腦，點選管理，打開計算機管理對話框，右擊計算機管理（本地），點選連接配接到另一台計算機，在打開的對話框中輸入florence 的ip、确定。出現一個對話框在服務和應用程式中選擇服務這一項，在右邊框裡找到telnet項右擊選屬性、把禁用改成自動、确定，在右擊選擇啟動、确定，

接下來，找到系統工具下的共享檔案夾下的共享項，單擊打開，找到以下路徑sysvol\abc.com\policies\,下面有兩個子檔案（{6AC1786C-016F-11DZ-945F-00C04-FB984F9}還有一個檔案夾和這個類似，在它下面找到以下路徑MACHINE\MICROSOFT\WINDOWSNT\SECEDIT\gptTMPL.inf的檔案，打開它，（不管提示什麼打開就行），會發現很長的字元串，在編輯欄中選擇查找鍵入以下内容sednyinteractivelogonrig找到後發現它後面有很長的一串字元，沒關系使他的值等于空就可以了儲存退出。再找到另一個{}内相同路徑下的檔案用同樣的方法使sednyinteractivelogonrig=空。（空是什麼都沒有，你可别打個空上去）就可以了儲存退出，不儲存一切都白幹了，千萬記得儲存。

然後在開始運作下鍵入cmd，在打開的指令行中鍵入telnet florenced的ip位址,在出現的指令行後會提示你選擇y/n選擇y就行了然後在gpupdate/force 也就是把他的政策給重新整理一下，提示重新整理失敗什麼的不用理他，

在計算機管理中選擇連接配接到另一台計算機鍵入istanbul的ip 在開始運作下cmd，步驟和上面的差不多telnetistanbul的ip接下來的指令行gpupdate/force 重新整理一下，搞定了他會提示你說什麼找不到路徑之類的，反正我試了兩次，發現它是在騙人

接着你可以試試在florence和Istanbul上能不能登陸了，簡單吧

本文轉自 yuzeying1 51CTO部落格，原文連結:http://blog.51cto.com/yuzeying/126584