不能本地登录系统之Telnet解决办法

　　在Windows2000中，如果某个用户被取消了本地登录权限，当这个用户本地登录计算机时，系统就会提示“此系统的本地策略不允许您采用交互式登录”，导致登录失败。遇到这种情况，通常请管理员在组策略中重新设置一下，将该用户从“拒绝本地登录”列表中删除或添加到“在本地登录”列表中即可。但如果因为操作失误或其它方面的原因，我们将所有用户的本地登录权限都禁止了(通常是禁止了users组（非域环境下）或domain users组（域环境下）)，那就有点麻烦了。这种情形看起来像一个解不开的“死结”：要解除禁止本地登录的组策略设置，必须以管理员身份本地登录；要以管理员身份本地登录，就必须先解除禁止本地登录的组策略设置。

　　但实际上，事情并没有我们想象的那么糟。经过查询相关资料和测试，我发现借助网络的帮助,这个“死结”还是可以解开的。因为域安全策略与本地安全策略的数据保存机制不同，下面分两种情况分别进行说明。

　　被域策略拒绝本地登录时的解决办法

　　域策略的安全设置部分都保存在一个名为“GptTmpl.inf”的安全模板中，这是一个文本文件，存放在DC（域控制器）的SYSVOL（物理目录指向DC的“c:\winnt\sysvol\sysvol”）共享中。要解除对所有用户本地登录限制，在不能本地登录的情况下，最快捷的办法可能就是直接编辑这个文本文件。

　　具体操作如下：

　　* 在另一台计算机（Win9X/2000/XP均可）上，使用域管理员账号连接到DC的SYSVOL共享，在“\\\sysvol\\Policies\\MACHINE\Microsoft\Windows NT\SecEdit”下找到该文本文件“GptTmpl.inf”。(路径中的“DC name”是你放置该组策略的域控制器的名字，“Domain name”是你的域的名字，“Policy GUID”是你要编辑的组策略对象的GUID，类似于“{31B2F340-016D-11D2-945F-05C04FB98439}”)。

　　* 使用记事本打开“GptTmpl.inf”文件，找到文件中“Privilege Rights”小节下的 “SeDenyInteractiveLogonRight”关键字，它的值就是被拒绝本地登录的用户或组的SID，将这些SID删除，使 “SeDenyInteractiveLogonRight”关键字的值为空。修改完毕将文件保存回原位置。

　　* 使用记事本打开位于“\\\sysvol\\Policies\”下的 “GPT.INI”文件，提高“General”小节下的“Version”关键字的值，通常是加1000。这是我们修改的这个组策略对象的版本号，版本号提高后可以保证我们的更改被复制到其它DC上。修改完毕将文件保存回原位置。