Acho que você está dizendo que alguém modificou um objeto de Diretiva de Grupo e negou aos membros do grupo "Administradores" o direito de fazer logon localmente em algum subconjunto dos computadores no domínio. Se isso não estiver correto, por favor, esclareça em sua pergunta.
Se eu estivesse nessa situação, faria logon em um computador com uma conta de usuário local (ou usaria um computador não pertencente ao domínio) e usaria um navegador LDAP (como ldp.exe
das Ferramentas de Suporte do Windows) para acessar o Active Directory para localizar o GUID do objeto de diretiva de grupo incorreto. Se você não estiver familiarizado com a consulta de um diretório LDAP, então, é certo que será bastante difícil guiá-lo passo a passo. Basicamente, você procuraria no contêiner "CN = System, CN = Policies" do domínio para localizar o GPO com a configuração desordenada (provavelmente examinando o atributo "displayName" dos GPOs). Isso lhe dará o GUID do GPO.
Depois que você tiver o GUID, eu "mapear" uma "unidade" para o compartilhamento SYSVOL em um controlador de domínio (DC) (usando NET USE x: \domain\sysvol /user:domain\domain-admin-username
). Em seguida, eu navegaria para essa "unidade", a subpasta "domain.com", a subpasta "Políticas", a pasta correspondente ao GUID do GPO desarrumado, a subpasta "Máquina", o "Windows NT" subpasta e a subpasta "SecEdit".
Nessa pasta, você encontrará um arquivo GptTmpl.inf
. Abra esse arquivo no "Bloco de Notas" e localize a linha que começa com SeDenyInteractiveLogonRight
. Exclua essa linha e salve o arquivo.
Em 5 minutos (as probabilidades estão dentro de 2,5 minutos) o DC que você modificou no SYSVOL atualizará a Diretiva de Grupo e permitirá o logon. À medida que a alteração é replicada para o SYSVOL de outros DCs, os computadores membros que estão atualizando suas Diretivas de Grupo também verão a mudança.
Você pode abrir a pesquisa no diretório LDAP apenas pesquisando o compartilhamento SYSVOL do domínio para GptTmpl.inf
arquivos que contêm a string SeDenyInteractiveLogonRight
, mas se você tiver GPOs que contenham legitimamente essa sequência, você poderá "quebrá-los".
Seja o que for que você faça, certifique-se de tomar notas sobre o que está mudando ao fazer isso, para que possa cancelar qualquer alteração incorreta que você faça.