方法二、手动将用户加入到Remote Desktop Users组
方法三、手动直接指派用户“通过终端服务允许登录”的权利
注意:如果终端服务器同时是DC,必须使用方法三 。原因是为了保护DC,DC上的本地安全策略里,只允许Administratrs组有此权利,而将Remote Desktop Users组删掉了 。
3、开始/程序/管理工具/终端服务配置/RDP-Tcp/右键/属性/权限 。
解决办法:手动将用户加入到Remote Desktop Users组,或确保用户在此权限下有来宾访问或用户访问的权限 。
4、用户所用帐号口令为空 。
若终端服务器为03,用户使用此服务器上的本地帐号、且口令为空,通过TS登录 。由于03本地安全策略/本地策略/安全选项/帐户:使用空白密码的本地帐户只允许进行控制台登录,默认启用,这将会阻止用户登录 。解决办法:使用非空密码或禁用此策略 。
顺便提一下,这也是常见的通过网络访问XP/03上的共享资源,不通的原因之一 。
5、所用帐号属性/终端服务配置文件/“允许登录到终端服务器”选项 。
这个选项,默认就是选中的,除非有人动过 。解决办法:手动选中即可 。
6、还有两种可能:
(1)2000:未安装TS服务;03:未启用远程桌面
(2)03:启用了ICF,但未设允许RDP进入
Q6、在2000(也仅是2000)中由于禁止本地登录权利而导致的所有用户、管理员无法登录 。
在安全策略/本地策略/用户权利分配下有两条策略:
¨拒绝本地登录,默认为“未定义” 。
¨允许在本地登录,其默认值分别为:
u本地计算机策略:Administrators、Backup Operators、Power Users、Users
u默认域的策略:未定义
u默认域控制器的策略:Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname
说明:如果在同一级别上、对同一对象(用户或组)、同时设置了“允许”和“拒绝”,“拒绝”权利的优先级别高 。也就是说二者冲突时,“拒绝”权利生效 。
假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员,又或者在允许登录上把管理员给删掉了 。不论哪一种情况都会导致管理员无法登录,出错提示为:“此系统的本地策略不允许您采用交互式登录”,也就没办法将策略设置改回正常了 。
这种情形看起来像一个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置 。
问题还是有办法解决的,分别讨论如下:
一、被域策略和域控制器策略所阻止
显然你应该是被域策略和域控制器策略同时阻止了登录权利,因为:
1、如果只是域策略阻止,由于默认域控制器的策略上允许Administrators登录,而域控制器(Domain Controllers)是个OU,前面我们讲过组策略的LSDOU原则,所以管理员可以登录到DC上,把策略改回去 。
2、如果只是域控制器的策略阻止,它只对DC生效 。管理员可以在域内的其它计算机上登录到域,把策略改回去 。
要解决被域策略和域控制器策略同时阻止,首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中,位于DC的winntsysvolsysvol中,以GUID为文件夹名 。”其中安全设置部分保存在DC的winntsysvolsysvol你的域名Policies策略的 GUIDMACHINEMicrosoftWindows NTSecEditGptTmpl.inf这个安全模板文件中 。它实质就是一个文本文件,可利用记事本进行编辑 。
说明:前面我们介绍过,默认域的策略、默认域控制器的策略使用固定的GUID,分别是:
¨默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
推荐阅读
- 如何备份和恢复Active Directory
- Microsoft Active Directory 常用文档速查指南
- 三 AD 活动目录域故障解决实例
- 一 AD 活动目录域故障解决实例
- 二 AD 活动目录域故障解决实例
- 一 Windows2003活动目录安装指南
- 二 Windows2003活动目录安装指南
- 二 域控制器发生故障时确保继续复制活动目录
- 一 域控制器发生故障时确保继续复制活动目录
- “让成长更美好”青少年食品安全与营养健康科普教育体验活动走进厦门肯德基