浅谈交互式登陆问题的处理

大家在登陆终端的时候或许会出现如下图的错误提示。好不容易得到了一台配置比较好的肉鸡，却出来这样的提示，是不是很恼人？
象上面这样的情况应该说是很普遍的，也经常很多朋友在论坛上提出这样的问题，但是似乎没有什么好的解决办法。所以这次拿自己最好的肉鸡开了一次刀，以探究问题的产生原因以及解决办法，在这这次经历中得到了很多经验和教训，不敢独享，所以拿来和大家交流下，一起进步才是最重要的。
一：失“鸡”
为了研究交互登陆问题，我忍痛把自己配置最好的肉鸡拿出来当了实验品，当然为了解决问题，还是值得的！研究交互登陆问题，我们首先要安装Active Directory，即活动目录，步骤如下：
1：“开始-程序-管理工具”，选择“配置服务器”，出现新窗口。
2：选择“Active Directory”，出现新的窗口，我们选择“启动Active Directory向导”，然后一直默认选项，直到出现要下面的图片 这里需要指定一个DNS名，因为是肉鸡嘛，所以我是随便设置的，比如是我的站地址longker.com，这里也可以随便设置一个的，因为是测试嘛，你可以按自己的实际情况来设定的，输入后又是一路回车，直到出现如下窗口 又是一路回车，到最后一步开始配置阶段，需要的时间还是挺多的，请耐心等待，我则是顺便去聊天室找了个MM聊天。过了一会配置完全，重起后设置开始生效。
重起后，用终端客户端登陆，我们先来比较下设置前后登陆窗口的不同，显然多了个选项，就是我们在设置活动目录时设置的那个WWW域。
输入自己原来克隆的Guest帐户和密码，居然说帐户被禁用，幸亏事先留了后门，telnet后把帐户激活登陆，发现我们在文章最前面提到 “本地权限不允许交互登陆”现象出现了。那么我们经常在论坛看到成员发帖子说“为什么我克隆了帐户登陆的时候却提示不能进行交互登陆”的现象就可以有个明确的答案了，那是因为对方主机安装了活动目录（AD）或者说是一个域控制器（DC），而自己克隆的帐户没有在域安全策略里进行设置，所以就产生了如上的现象。难道就眼看着自己最好的肉鸡死掉？当然是不甘心的，塞翁失马，焉知非福嘛，以下就来探究此类问题的解决办法。  二：失而复得  由于我们不能登陆终端进行对域安全策略的设置，因此给问题的解决造成了一定的难度。如果是可以终端登陆的情况，那就简单了，如果不能终端登陆，那情况就稍微复杂些，以下我们分两种情况来讨论：  1：可以使用终端登陆  或许有这样的情况，你在肉鸡上多加了个用户，但是用它却不能进行交互式登陆，但是可以用原来的帐户登陆终端，这样的情况解决方法如下面步骤：
因为默认情况下，普通用户是无权在域控制器（DC）上交互式登陆的，要赋予用户在DC上交互登陆的权利，需要打开“控制面板”---“管理工具”—“-域控制器安全策略”----“安全策略”----“本地策略”---“用户权利指派”---“允许在本地登陆”项添加允许登陆的用户。那如果我们新增一个用户或者是克隆一个帐户的话，默认情况就没有在域安全策略里进行设置，也就无法进行交互式登陆了。我们按照实际情况添加允许登陆的帐户后，需要用“Seceidt /refreshpolicy machine_policy”命令来刷新安全策略设置，或者是“Seceidt /refreshpolicy machine_policy /enforce”强制刷新安全策略设置，问题就这样解决了。（注：Secedit.exe是Win2K自带的自动化安全配置任务命令管理工具，功能很强大，我们可以用他来分析、配置、刷新、导入、导出、验证系统安全配置。具体用法可以使用“Secedit /?”查看其帮助文件）  2：不能使用终端登陆的情况  不能使用自己的帐户进行登陆，确实有点麻烦，我们总不能找肉鸡的管理员让他把你加到允许交互登陆的组吧？但是实际上，情况并没有我们想象的那样糟糕，经过一番测试和思考，发现我们可以借助ipc$以及远程执行命令来解决这个问题，由于域安全策略和本地安全策略的不同，我们也将分两部分来讨论。  ① 被域策略拒绝本地登陆的解决办法：
域安全策略的配置文件是保存在一个名为“GptTmp1.inf”的安全模板里（一般在winnt\sysvol\sysvol下）我们可以用记事本打开，直接来编辑，由于我们不能登陆肉鸡，所以我们可以通过ipc$连接，把肉鸡的GptTmp1.inf文件copy到本机，用记事本打开，找到文件中“Privilege Rights”项下的“SeDenyInteractiveLogonRight”关键字，它的值就是被拒绝本地登陆的用户或者是组的SID，我们可以把这些SID删除，但是注意不要删除该关键字，修改完毕后放回肉鸡覆盖原文件。同样再打开GPT.INI文件，提高“General”下“Version”关键字的值，通常是加1000，修改完毕放回肉鸡覆盖原文件。（为了安全性，请实现备份这两个文件）。然后用“Seceidt /refreshpolicy machine_policy /enforce”刷新策略，问题就解决了。  ②被本地安全策略拒绝交互登陆的情况
我们先与肉鸡建立ipc连接，然后使用Pstool里的psexec.exe开启远程命令行，假设肉鸡IP是111.111.111.111，用户名和密码分别是longker和love，这样来：
net use \\111.111.111.111\ipc$ “love” /u: “longer”
psexec \\111.111.111.111 cmd.exe 这样就启动了远程命令行，接着我们把肉鸡的本地安全策略用secedit导出来，格式是“Secedit /export /CFG c:\winnt\longker.inf”，这样就把肉鸡的本地安全策略配置导出到了肉鸡“c:\winnt\longker.inf”安全模板里，然后把肉鸡上的longker.inf拷贝到本机进行编辑，具体是找到找到文件中“Privilege Rights”项下的“SeDenyInteractiveLogonRight”关键字，它的值就是被拒绝本地登陆的用户或者是组的SID，我们可以把这些SID删除，但是注意不要删除该关键字，修改完毕后放回肉鸡覆盖原文件longker.inf。然后在刚才打开的远程命令行里执行“Secedit /configure /db c:\secedit.sdb /CFG c:\winnt\longker.inf”命令。最后用“Seceidt /refreshpolicy machine_policy /enforce”刷新策略配置，问题就这样解决了。我们的肉鸡又回来了，又可以使用终端进行管理了，Cheer！  三：总结  经过这次肉鸡的失而复得，积累了更多的经验和教训，塞翁失马，焉知非福。还是一句话，如果能多思考，多动手，再难的问题也是可以解决的，每一次实践就是一次学习的机会，我们的身边就有许多这样的机会，就看你能不能抓住了。由于写文章正值考试期间，错误之处难免，如果有什么不当的地方，请与我交流。