Один из сотрудников на предприятии изменил настройки пользователей в групповой политике, которая влияет на права входа в систему для пользователей-администраторов.
Каждый раз, когда я пытался войти в систему локально, это сообщение показывало:
Вы не можете войти в систему, потому что используемый вами метод входа в систему не разрешен на этом компьютере.
Все решения в Интернете работали внутри Windows, но у меня есть доступ только к командной строке (с помощью мастера восстановления).
Что я должен делать?
Я думаю, вы говорите, что кто-то изменил объект групповой политики, который лишает членов группы «Администраторы» права локального входа в систему на некотором подмножестве компьютеров в домене. Если это не так, уточните свой вопрос.
Если бы я был в этой ситуации, я бы зашел на компьютер с локальной учетной записью (или использовал компьютер, не являющийся членом домена) и использовал браузер LDAP (например, ldp.exe из средств поддержки Windows), чтобы получить доступ к Active Directory и найти идентификатор GUID для объекта групповой политики, вызывающего нарушение. Если вы не знакомы с запросами к каталогу LDAP, то, по общему признанию, будет довольно сложно вести вас шаг за шагом. По сути, вы должны искать в контейнере «CN = System, CN = Policies» домена, чтобы найти объект групповой политики с неверной настройкой (возможно, исследуя атрибут «displayName» объектов групповой политики). Это даст вам GUID объекта групповой политики.
Как только у вас будет GUID, я «сопоставлю» «диск» с общим ресурсом SYSVOL на контроллере домена (DC) (используя NET USE x: \\domain\sysvol /user:domain\domain-admin-username). Затем я просматривал этот "диск", подпапку "domain.com", подпапку "Policies", папку, соответствующую GUID испорченного объекта групповой политики, подпапку "Machine", "Windows NT" вложенная папка и вложенная папка "SecEdit".
В этой папке вы найдете GptTmpl.inf файл. Откройте этот файл в «Блокноте» и найдите строку, начинающуюся с SeDenyInteractiveLogonRight. Удалите эту строку и сохраните файл.
Через 5 минут (вероятность в пределах 2,5 минут) DC, на котором вы изменили SYSVOL, обновит групповую политику и позволит вам войти в систему. По мере репликации изменения в SYSVOL других контроллеров домена и рядовых компьютеров, обновляющих их, их групповая политика также улавливает это изменение.
Вы можете отказаться от поиска в каталоге LDAP, просто выполнив поиск в общем ресурсе SYSVOL домена для GptTmpl.inf файлы, содержащие строку SeDenyInteractiveLogonRight но если у вас есть объекты групповой политики, которые законно содержат эту строку, вы рискуете «сломать» их.
Что бы вы ни делали, обязательно делайте заметки о том, что вы меняете при этом, чтобы вы могли отказаться от любых неправильных изменений, которые вы делаете.