本文目录一览:
- 1、求助,急!win2000登录的速度很慢,提示域无法使用!
- 2、sysvol 组策略高手救命
- 3、域控这两个共享文件夹的作用SYSVOL 和 NETLOGON
- 4、关于服务器的 域控制器安全策略
- 5、管理员如何解开拒绝本地登陆的死结?
- 6、SYSVOL是什么意思
求助,急!win2000登录的速度很慢,提示域无法使用!
哈哈,你设置错误,你把系统设置成禁止所有域用户登陆了,管理员帐号也没办法进对吗?你可以试试用WIN2000安装光盘修复系统,这样最快,
在Windows 2000环境下,被组策略拒绝本地登录一直是件比较令人头疼的事情。本文将介绍一种所有用户都被拒绝本地登录后的解决方法。
在Windows2000中,如果某个用户被取消了本地登录权限,当这个用户本地登录计算机时,系统就会提示"此系统的本地策略不允许您采用交互式登录",导致登录失败。遇到这种情况,通常请管理员在组策略中重新设置一下,将该用户从"拒绝本地登录"列表中删除或添加到"在本地登录"列表中即可。但如果因为操作失误或其它方面的原因,我们将所有用户的本地登录权限都禁止了(通常是禁止了users组(非域环境下)或domain -dc没有共享文件目录sysvol
users组(域环境下)),那就有点麻烦了。这种情形看起来像一个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。-dc没有共享文件目录sysvol
但实际上,事情并没有我们想象的那么糟。经过查询相关资料和测试,我发现借助网络的帮助,这个"死结"还是可以解开的。因为域安全策略与本地安全策略的数据保存机制不同,下面分两种情况分别进行说明。-dc没有共享文件目录sysvol
被域策略拒绝本地登录时的解决办法
域策略的安全设置部分都保存在一个名为"GptTmpl.inf"的安全模板中,这是一个文本文件,存放在DC(域控制器)的SYSVOL(物理目录指向DC的“c:\winnt\sysvol\sysvol")共享中。要解除对所有用户本地登录限制,在不能本地登录的情况下,最快捷的办法可能就是直接编辑这个文本文件。-dc没有共享文件目录sysvol
具体操作如下:
在另一台计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC的SYSVOL共享,在"\\DC
name\sysvol\Domain name\Policies\policy
GUID\MACHINE\Microsoft\Windows
NT\SecEdit"下找到该文本文件"GptTmpl.inf"。(路径中的"DC name"是你放置该组策略的域控制器的名字,"Domain
name"是你的域的名字,"Policy
GUID"是你要编辑的组策略对象的GUID,类似于"{31B2F340-016D-11D2-945F-05C04FB98439}")。
使用记事本打开"GptTmpl.inf"文件,找到文件中"Privilege Rights"小节下的
"SeDenyInteractiveLogonRight"关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使
"SeDenyInteractiveLogonRight"关键字的值为空。修改完毕将文件保存回原位置。
使用记事本打开位于"\\DC name\sysvol\Domain name\Policies\policy GUID"下的
"GPT.INI"文件,提高"General"小节下的"Version"关键字的值,通常是加1000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。修改完毕将文件保存回原位置。-dc没有共享文件目录sysvol
域策略刷新后,问题即告解决。
本地登录DC重新设置域策略中的相关项目。
被本地安全策略拒绝本地登录时的解决办法
由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理(详见组策略白皮书),而且本地安全策略的安全设置通常存放在一个二进制的安全数据库secedit.sdb中,这个安全数据库的结构我们无从知道,因此象第一部分那样直接编辑secedit.sdb文件的办法是无能为力了,我们需要采用迂回进攻的策略,"曲线救国"。-dc没有共享文件目录sysvol
具体操作如下:
假设故障计算机的IP地址是"192.168.0.111"。在另一台计算机(Windows9X/2000/XP均可)上,使用"Telnet
192.168.0.111"命令使用管理员账号连接到故障计算机。(如果故障计算机的telnet"服务没有启动,可以通过网络使用"服务"MMC启动,具体方法不在详述)
通过telnet在故障计算机上执行"net share
tmp$=d:\tmp"命令,将故障计算机上的"d:\tmp"隐藏共享为"tmp$",共享权限缺省是everyone完全控制(此时要特别注意网络安全)。当然你也可以共享其它的目录。
通过telnet在故障计算机上执行"secedit /export /CFG
d:\tmp\sec.inf"命令,将故障计算机的本地安全策略配置导入"d:\tmp\sec.inf"安全模板文件中,这是一个文本文件。
连接到故障计算机上的tmp$共享,用记事本打开共享文件夹中的"sec.inf"文件。找到文件中"Privilege
Rights"小节下的“SeDenyInteractiveLogonRight"关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使"SeDenyInteractiveLogonRight"关键字的值为空或者是随便另设置一个无关的值。文件修改完毕保存回原位置。-dc没有共享文件目录sysvol
通过telnet在故障计算机上执行"secedit /configure /db c:\secedit.sdb /CFG
d:\tmp\sec.inf"命令,使用新的安全模板和安全数据库重新配置故障计算机的本地安全策略。
通过telnet在故障计算机上执行"secedit /refreshpolicy machine_policy
/enforce"命令,强制在故障计算机上刷新策略设置,问题即告解决。
本地登录故障计算机后,删除我们建立的Tmp$共享,重新设置本地安全策略中的相关项目。
secedit简介
secedit.exe,Windows2000自带的自动化安全配置任务命令行工具,功能强大。我们可以用它来分析系统的安全性、配置系统安全性、刷新安全性设置、导出安全性设置和验证安全配置文件。它的具体用法请使用"secedit -dc没有共享文件目录sysvol
/?"查看其帮助文件。
补充说明
上面所说的两种方法,都是以有权限用户(如管理员)没有被禁止从网络登录为前提的,如果你的策略把从网络登录也禁止了,让故障计算机成了真正的"孤家寡人",那问题解决起来要麻烦的多,但同样不是一个解不开的"死结"。具体的解决办法,我会另具文说明,在此不再细说。-dc没有共享文件目录sysvol
sysvol 组策略高手救命
在“组策略编辑器”中,如果试图编辑“组策略”对象,有可能收到如下错误消息:
未能打开组策略对象。 您可能没有合适的权限。
详细信息:
系统找不到指定的路径。
原因
如果丢失下面任何一个文件夹结构,就会出现该问题:
%SystemRoot%\Sysvol\Sysvol\DomainName
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\Machine
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\User
解决方案
如果您使用的是单域环境,有两种方法来解决该问题。 如果您的域中有多个域控制器,则可以从备份域控制器获得该信息。
从备份磁带还原 Sysvol 内容。
在 Sysvol 容器中重新创建文件夹结构。 {GUID} 文件夹必须包括左大括号“{”和右大括号“}”
备注: 如果重新创建文件夹结构,将会创建一个空策略。 在用“组策略”管理单元对该策略文件进行修改之后,将重新创建 Machine 和 User 文件夹中的文件和文件夹。
更多信息
要在目录中找到关联组策略对象 (GPO) 的全球唯一标识符 (GUID),请使用如下两种方法之一。
使用 Active Directory 用户和计算机管理单元
在 Microsoft Management Console (MMC) 中,启动“Active Directory 用户和计算机”管理单元。
在查看菜单中,单击高级功能。
单击系统文件夹旁的加号 (+)。
单击策略文件夹旁的加号 (+)。
GPO 的 GUID 将按文件夹列出。
使用 Ldp.exe
从零售 Windows 2000 CD-ROM 的 Support\Reskit\Netmgmt\Dstool 文件夹中,启动 Ldp.exe。
在 Connection 菜单上,单击 Connect。
键入服务器名,确认端口设置为 389,单击清除 Connectionless 复选框,然后单击 OK。 一旦完成连接,特定服务器的数据将显示在右边窗格中。
在 Connection 菜单上,单击 Bind。 在相应的框中键入用户名、密码和 DNS 格式域名(可能需要选中 Domain 复选框),然后单击 OK。 如果绑定成功,应当在右边窗格中出现类似 Authenticated as dn:'YourUserID' 的消息。 -dc没有共享文件目录sysvol
在 View 菜单上,单击 Tree。
在 Base DN 框中,键入 dc= mydomain ,dc= mydomain,将 mydomain 和 mydomain 替换为合适的域名。
单击系统容器旁的加号 (+)。
单击策略容器旁的加号 (+)。
这时,创建在该目录中的每个策略对象都应当有一个带 GUID 的容器。
域控这两个共享文件夹的作用SYSVOL 和 NETLOGON
SYSVOL:
SYSVOL是指存储域公共文件服务器副本的共享文件夹,它们在域中所有的域控制器之间复制。 Sysvol文件夹是安装AD时创建的,它用来存放GPO、Script等信息。同时,存放在Sysvol文件夹中的信息,会复制到域中所有DC上。-dc没有共享文件目录sysvol
Netlogon:
Netlogon(网络登录)服务为域控制器注册所有的srv资源纪录。这些记录出现在DNS服务器的正向查询区域你的域名中的_msdcs, _sites, _tcp, and _udp等文件夹中。其他计算机利用这些记录查询域活动目录相关的信息。-dc没有共享文件目录sysvol
关于服务器的 域控制器安全策略
1、建议将DC的备份信息恢复,覆盖掉现在的组策略设置。
2、另外,查一查有没有中病毒。
3、实在不行,准备重装服务器系统吧!
管理员如何解开拒绝本地登陆的死结?
无法登陆的原因很多,但常见的有以下几种:
1、ISP(电信公司)端设备触片氧化,不严重的情况下,摘下电话听筒再挂上几次即可解决;
2、线路接点太多接触不良,尽量减少接点,多用长线代替;
3、线路太长,信号衰减,根据情况增加中继器(repeater)
4、路由器(route)/调制解调器(modem)等设备过热,重启即可
5、电脑故障,请下载浙江电信10000号手册,然后查询
SYSVOL是什么意思
SYSVOL是指存储域公共文件服务器副本的共享文件夹,它们在域中所有的域控制器之间复制。 Sysvol文件夹是安装AD时创建的,它用来存放GPO、Script等信息。同时,存放在Sysvol文件夹中的信息,会复制到域中所有DC上。-dc没有共享文件目录sysvol
由于用户登录(计算机)时,会首先在SYSVOL文件查找GPO和启动脚本。同时,为了保证系统的正常运行,必须为SYSVOL保留足够的空间缓存。我们可以通过文件复制服务日志进行监控。
简介
在客机与服务器模式下,文件服务器(file server)是一台对中央存储和数据文件管理负责的计算机,这样在同一网络中的其他计算机就可以访问这些文件。文件服务器允许用户在网络上共享信息,而不用通过软磁盘或一些其它外部存储设备来物理地移动文件。-dc没有共享文件目录sysvol
任何计算机都能被设置为主机,并作为文件服务器(file server)运行。最简单的形式是,文件服务器可以是一台普通的个人计算机,它处理文件要求并在网络中发送它们。
