域控制器中Server服务禁用后导致域用户无法通过远程桌面方式登录

分类:技术备忘 阅读:16732 评论:3
一个域环境中,错误的使用域组策略禁用了所有服务器的Server服务,几分钟后,在域控制器和域成员上都无法使用域帐号进行远程桌面登录,表现为输入正确的帐号密码后,远程桌面停滞在桌面背景底色的界面一段时候,最后报告域控制器不存在或者无法连通,无法使用远程桌面登陆。

原因是在域环境下,域用户登录从远程桌面登录,是需要从域控制器的SYSVOL共享目录中获取一些数据,Server服务禁用导致了共享文件服务失效,于是登录就出现了问题。

首先要想办法进入域控制器桌面,根据Windows的特性,在无法连通网络的情况下,如果使用物理终端(就是走到服务器面前,接上鼠标键盘显示器,你说你有KVM!Lucky!不用去机房了)直接登录,Windows默认是可以使用缓存的之前成功登陆的N个帐号中的某个成功登陆的;这个特性可以在组策略中调整次数,默认为10个。

使用这个方法,虽然是一个比较缓慢的登录过程,但是还是成功进入了域控制器的桌面,但此时无法使用组策略工具连接域进行配置,同样提示域可能不存在。

组策略最终也是放置在SYSVOL共享目录下的,实际是文本文件可以编译,考虑到如此,可以手工修改,删除禁用Server服务的策略,路径为%systemroot%/sysvol/sysvol/域名/Policies/策略的GUID/MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf

策略的GUID:
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9

这里我们由于是错误设置了域策略,所以修改GUID为31B2F340-016D-11D2-945F-00C04FB984F9目录下的GptTmpl.inf。使用记事本打开,发现有[Service General Setting]中有一行"lanmanserver",4,"",将这行删除,保存文件。

为了使修改后的组策略生效,还需要修改组策略的版本号,路径为%systemroot%/sysvol/sysvol/域名/Policies/策略的GUID/GPT.ini,将版本号数字增加100(看你喜好)。

先重启登录修改的域控制器,再重启其他域控制器,故障消失。

已有3位网友发表了看法:

i老虎 2008-10-13 17:32:19 回复
我的qq 793058146
无为而为 2008-10-13 19:44:39 回复
已加你,貌似老乡,呵呵
i老虎 2008-10-13 17:31:51 回复
你的意思是在域服务器上改动ini文件?客户机上是没有这个文件夹的sysvol,可域服务器上的没有[Service General Setting]中有一行"lanmanserver",4,"",你有在线的联系方式吗?我请教下! 谢谢
无为而为 2008-10-13 19:43:54 回复
是的,是在域控上修改ini,sysvol是用来传递一些域的信息的,所以在域控上才有。没有这行,说明你在组策略中没有禁用这个服务吧
WWT 2008-07-21 08:47:59 回复
已阅,
但是看不懂。
只有路过。

发表评论

必填

选填

选填

必填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。