域控制器對于系統(tǒng)管理員來說至關(guān)重要，但是在域控制器出現(xiàn)故障時往往也非常令人煩惱，下面就是解決域控制器故障的實例介紹。

故障現(xiàn)象：

某公司辦公局域網(wǎng)基于Windows2000Server系統(tǒng)，由于管理員的誤操作將域控制器中的所有用戶（包括管理員）的本地登錄權(quán)限禁止了?，F(xiàn)在所有的用戶（包括管理員）都無法本地登錄域控制器，出錯提示為“此系統(tǒng)的本地策略不允許你采用交互式登錄”。請問這個問題應(yīng)該如何解決？

解決方法：

根據(jù)故障描述可以判斷出在“域安全策略”和“域控制器安全策略”中同時禁止了本地登錄權(quán)限。因為如果只是“域安全策略”禁止，由于域控制器是個OU（組織單元），而根據(jù)組策略的LSDOU原則，Administrators組的成員是可以登錄域控制器的進而重新編輯策略；如果只是“域控制器安全策略”禁止，則該策略只對域控制器生效，管理員可以從域內(nèi)的其它計算機登錄到域來編輯策略。

要解決被“域安全策略”和“域控制器安全策略”同時禁止的問題，首先必須明確策略設(shè)置值存儲在GPT（位于域控制器的winnt/sysvol/sysvol文件夾中，以GUID為文件夾名）中。其中安全設(shè)置部分保存在域控制器的“winnt/sysvol/sysvol/域名/Pllicies/策略的GUID/MACHINE/Microsoft/WindowsNT/SecEdit/GptTmpl.inf”這個安全模版文件中，該文件實質(zhì)是一個文本文件，可利用記事本進行編輯。默認域的策略和默認域控制器的策略使用固定的GUID，其中默認域的策略的GUID為31B2F340-016D-11D2-945F-00C04FB984F9，默認域控制器的策略的GUID為6AC1786C-016F-11D2-945F-00C04FB984F9。

明確了上述文件的作用和位置后，可以利用C盤的隱含共享C$或winnt/sysvol/sysvol/的共享sysvol連接域控制器編輯該文件。

具體操作步驟如下：

第1步，在任意一臺域成員計算機上以域管理員的身份登錄到域，并通過共享連接到域控制器。找到安全模板文件GptTmpl.inf。

第2步，利用記事本打開GptTmpl.inf文件，找到文件中[PrivilegeRights]小節(jié)下的拒絕本地登錄SeDenyInteractiveLogonRight和允許在本地登錄SeInteractiveLogonRight關(guān)鍵字進行編輯。例如，使SeDenyInteractiveLogonRight所等于的值為空，保證SeInteractiveLogonRight=*S-l-5-32-544,……，***保存文件。

如果域中不止一臺域控制器，則為了保證域控制器同步時使所做的修改最終生效，需要打開“winnt/sysvol/sysvol/域名/Policies/剛修改策略的GUID/GPT.INI”文件，找到文件中[General]小節(jié)下的Version，手動將其值增大（通常是增加10000）。該值是所修改的這個組策略對象的版本號，版本號提高后可以保證更改被復(fù)制到其它DC上。保存文件后重新啟動域控制器，則域策略將被刷新。

總結(jié)：

希望本文介紹的所有域用戶不能登錄域控制器的故障解決的方法能夠?qū)ψx者有所幫助，更多有關(guān)操作系統(tǒng)的知識還有待于讀者去探索和學(xué)習(xí)。

【編輯推薦】

1. 使域控制器們負載均衡問題解析
2. 把計算機加入域控制器中及netbios的簡介
3. 活動目錄的域控制器中如何創(chuàng)建漫游用戶？
4. 提升域控制器過程中更改兼容權(quán)限問題解析
5. 如何在windows系統(tǒng)的域控制器中打開和使用組策略 ？