組策略有時(shí)候由于設(shè)置不當(dāng)而使管理員無法登陸時(shí)怎么辦？具體內(nèi)容如下所述。

在WINMAG雜志上筆者看到了在域環(huán)境上如果由于組策略設(shè)置不當(dāng)，在拒絕本地登陸策略里設(shè)置了everyone組或管理員組造成管理員無法登陸的解決的辦法，但前提似乎要在域環(huán)境下，通過在DC上優(yōu)先策略的發(fā)布替換原有策略，從而達(dá)到解決問題的目的，那么如果在對等網(wǎng)或單機(jī)的情況下該如何解決此類問題呢？在單機(jī)下可以解決的話，筆者想就不用區(qū)別是否是域環(huán)境了，也可以說是通用的方法了。來看看筆者的具體實(shí)話過程吧。（本實(shí)驗(yàn)全部在虛擬機(jī)上完成，磁盤格式為NTFS，系統(tǒng)為XP。）

首先需要聲明的是，在單機(jī)環(huán)境下，如果在組策略的拒絕本地登陸上直接加入“everyone”或“administrator”是不允許的，會(huì)出現(xiàn)如下提示：

圖1：添加“everyone”組時(shí)系統(tǒng)拒絕提示

看來微軟也意識(shí)到了用戶可以會(huì)犯這么低級(jí)的錯(cuò)誤，但令人感到遺憾的是這個(gè)功能只是檢測“everyone”或管理員，并不檢查其它組的組成員，如果某個(gè)組包含everyone或管理員的話，系統(tǒng)是允許通過的，于是就造成了問題所在，在實(shí)驗(yàn)環(huán)境里，筆者新建了一個(gè)SLE的組，組成員為“everyone”，如圖：

圖2：新建包含“everyone”組成員的組“sle”

確定以后，再運(yùn)行“組策略”，并在“拒絕本地用戶”里添加了“SLE”組，系統(tǒng)并沒有給出任何提示，完全通過，如圖：

圖3：在拒絕本地登陸里添加包含“everyone”組成員的“sle”組

然后把系統(tǒng)重啟，不出所料，當(dāng)筆者用“administrator”進(jìn)行登陸時(shí)，系統(tǒng)給出了出錯(cuò)提示：

圖4：系統(tǒng)拒絕登陸

很明顯，如果是在單機(jī)環(huán)境下，已經(jīng)沒有什么辦法可想了，只能轉(zhuǎn)移。筆者先用XP的安裝光盤啟動(dòng)，選修復(fù)，輸入管理員密碼后，進(jìn)入控制臺(tái)，因?yàn)樵诳刂婆_(tái)下，組策略不起作用，所以不會(huì)拒絕登陸的，如圖：

圖5：進(jìn)入控制臺(tái)

把當(dāng)前目錄切換到“c:\windows\system32”下面，然后把“cmd.exe”拷至其它目錄，筆者是拷到了C盤根目錄下，然后把“cmd.exe”改名為“logon.scr”，再把這個(gè)由“cmd.exe”改名而來的“logon.scr”重新拷到“c:\windows\system32”下，系統(tǒng)提示：“要改寫logon.scr嗎？”，選擇“Yes”，***輸入“exit”退出重啟。

圖6：將“cmd.exe”改成“logon.scr”并覆蓋原有文件

啟動(dòng)到登陸畫面時(shí)，請不要?jiǎng)渔I盤鼠標(biāo)，過一會(huì)，系統(tǒng)就會(huì)啟動(dòng)“logon.scr”的屏保程序，但由于筆者們在前面已經(jīng)把“cmd.exe”改成了“logon.scr”，所以這回啟動(dòng)的可不是屏保，而是“cmd.exe”，如圖：

圖7：系統(tǒng)啟動(dòng)了由“cmd.exe”改名的“logon.scr”

接下來就方便了，只要輸入“gpedit.msc”，就可以啟動(dòng)組策略了：

圖8：運(yùn)行組策略

 然后筆者再到“用戶權(quán)利指派”里，雙擊“拒絕本地登陸”：

圖9：刪除包含成員everyone組的sle

把筆者添加的那個(gè)包含“everyone”的組“sle”刪除。確定退出，然后再在登陸畫面里輸入管理員帳號(hào)的密碼，成功登陸！

此方法主要是利用了在登陸界面里，如果長時(shí)間不動(dòng)鍵盤鼠標(biāo)，則系統(tǒng)自動(dòng)啟動(dòng)“logon.scr”這一漏洞解決問題的?，F(xiàn)在筆者模擬的環(huán)境是在知道管理員密碼的情況下完成的，如果不知道密碼也沒有關(guān)系，只要用2K PRO的安裝光盤啟動(dòng)XP，進(jìn)入控制臺(tái)里是不用輸入密碼的（又是一個(gè)安全漏洞），此方法不僅可以解決單機(jī)環(huán)境下的組策略設(shè)置不當(dāng)問題，還可以破解系統(tǒng)的管理員密碼，包括DC在內(nèi)，希望微軟下一系統(tǒng)—Longhorn能避免此類問題，使系統(tǒng)更加安全！

組策略設(shè)置不當(dāng)無法登陸故障解決方法希望能夠?qū)ψx者有所幫助。更多有關(guān)組策略的知識(shí)有待于讀者去學(xué)習(xí)餓鞏固。

【編輯推薦】

1. 巧用組策略確保網(wǎng)絡(luò)安全
2. Windows系統(tǒng)中高效運(yùn)用組策略的方法
3. 在Windows 2000域中介紹Win XP組策略
4. 利用Windows組策略管理網(wǎng)絡(luò)共享的技巧
5. 利用組策略鎖定Windows XP系統(tǒng)分區(qū)的方法