política de grupo no Windows Server 2008

2

Um funcionário da empresa alterou a configuração de usuários na política de grupo, o que afeta as permissões de login dos usuários administradores.

Sempre que tentei fazer login localmente, esta mensagem foi exibida:

You cannot log on because the logon method you are using is not allowed on this computer

Todas as soluções na Internet funcionavam dentro do Windows, mas eu só tenho acesso ao Prompt de Comando (usando o assistente de reparo).

O que devo fazer?

    
por Ahmad Al-Ghamdy 12.02.2012 / 20:04

1 resposta

3

Acho que você está dizendo que alguém modificou um objeto de Diretiva de Grupo e negou aos membros do grupo "Administradores" o direito de fazer logon localmente em algum subconjunto dos computadores no domínio. Se isso não estiver correto, por favor, esclareça em sua pergunta.

Se eu estivesse nessa situação, faria logon em um computador com uma conta de usuário local (ou usaria um computador não pertencente ao domínio) e usaria um navegador LDAP (como ldp.exe das Ferramentas de Suporte do Windows) para acessar o Active Directory para localizar o GUID do objeto de diretiva de grupo incorreto. Se você não estiver familiarizado com a consulta de um diretório LDAP, então, é certo que será bastante difícil guiá-lo passo a passo. Basicamente, você procuraria no contêiner "CN = System, CN = Policies" do domínio para localizar o GPO com a configuração desordenada (provavelmente examinando o atributo "displayName" dos GPOs). Isso lhe dará o GUID do GPO.

Depois que você tiver o GUID, eu "mapear" uma "unidade" para o compartilhamento SYSVOL em um controlador de domínio (DC) (usando NET USE x: \domain\sysvol /user:domain\domain-admin-username ). Em seguida, eu navegaria para essa "unidade", a subpasta "domain.com", a subpasta "Políticas", a pasta correspondente ao GUID do GPO desarrumado, a subpasta "Máquina", o "Windows NT" subpasta e a subpasta "SecEdit".

Nessa pasta, você encontrará um arquivo GptTmpl.inf . Abra esse arquivo no "Bloco de Notas" e localize a linha que começa com SeDenyInteractiveLogonRight . Exclua essa linha e salve o arquivo.

Em 5 minutos (as probabilidades estão dentro de 2,5 minutos) o DC que você modificou no SYSVOL atualizará a Diretiva de Grupo e permitirá o logon. À medida que a alteração é replicada para o SYSVOL de outros DCs, os computadores membros que estão atualizando suas Diretivas de Grupo também verão a mudança.

Você pode abrir a pesquisa no diretório LDAP apenas pesquisando o compartilhamento SYSVOL do domínio para GptTmpl.inf arquivos que contêm a string SeDenyInteractiveLogonRight , mas se você tiver GPOs que contenham legitimamente essa sequência, você poderá "quebrá-los".

Seja o que for que você faça, certifique-se de tomar notas sobre o que está mudando ao fazer isso, para que possa cancelar qualquer alteração incorreta que você faça.

    
por 12.02.2012 / 21:35