iT邦幫忙

0

系統的本機原則不允許您使用互動式登入

我再server上建了一個帳號,是直接在AD的user裡建立使用者。建完後,我到我的網域按右鍵內容進「群組原則」,使用者權力指派中的「允許本基登入」和「允許透過終端機服務登入」把我建user加入,然後執行gpupdate。
回到xp client端用剛建的user登入後出現錯誤訊息,這個「系統的本機原則不允許您使用互動式登入」。請問各位大大,我是否少了什麼設定,請詳述步驟謝謝

但果我在AD裡以複製administrator來建帳號,在去網域按右鍵內容進「群組原則」,使用者權力指派中的「允許本基登入」和「允許透過終端機服務登入」再把user加入後,在xp client登入式可以的

28
misadm
iT邦高手 10 級 ‧ 2008-06-10 12:36:25
最佳解答

你說在 AD 上新增一個使用者而且在群組原則中設定該使用者有允許透過終端機服務登入、本機登入的權利;但是回到XP Client 端卻出現系統的本機原則不允許您使用互動式登入錯誤訊息!?

你的問題很奇怪,一般來說,在 AD 中的使用者是不需要特別到群組原則中指定這 2 個權限就可以正常登入了!

還有,以複製 AD 裡的 Administrator 帳號來建新的帳號,就更奇怪了!因為複製出來的帳號將會擁有最高權限,也不需要特別再加這 2 個群組原則。

就算你真的有需要設定這 2 個群組原則,那麼你必須在Default Domain Controllers Policy中設定才會有效,因為在一個網域下只有一個電腦設定\Windows設定\安全性設定會被套用,之後你在新增的都沒有用。

建議你將需求描述清楚一點,這樣大家比較有辦法精確的回答你的問題。

看更多先前的回應...收起先前的回應...
bigmotor iT邦研究生 5 級 ‧ 2008-06-10 14:09:21 檢舉

TO misadm
我現在要作強制設定,我增設了兩個使用者(在server AD裡 TEST1 TEST2),基本上不管是不是強制設定,我設好這兩個使用者後,回到xp client端使用TEST1 TEST2登入是不是應該要可以登入,但是不行,他出現以下訊息「系統的本機原則不允許您使用互動式登入」,所以我試著(到server端設定)讓它允許本機登入(我知道本機登入是只在server上登入,我只是做嘗試),但還是不能登入.
複製administrator當然可以,這我也知道,應畏他會連同權限都複製,但我必須能先交付一些作業,所以出此下策,但我還是需要更改回來,所以請各位大大幫個忙,謝謝

misadm iT邦高手 10 級 ‧ 2008-06-10 15:11:07 檢舉

To Bigmotor:
請先確定 AD 上的『Default Domain Controllers Policy』以及,XP 上的『本機安全性原則』都沒有在『拒絕本機登入』中指定 Users 或 Everyone 等任何會影響的群組或帳號。

bigmotor iT邦研究生 5 級 ‧ 2008-06-11 00:05:49 檢舉

XP 上的『本機安全性原則』都沒有在『拒絕本機登入』中指定 Users 或 Everyone 等任何會影響的群組或帳號。

===這東東在哪裡ㄚ...我初出茅廬,不好意思,請多擔待些,稍詳述一下,謝謝

misadm iT邦高手 10 級 ‧ 2008-06-11 11:41:38 檢舉

在 XP 上,控制台\系統管理工具\本機安全性原則

28
richardhsieh
iT邦研究生 4 級 ‧ 2008-06-10 11:45:23

網域控制站是不允許斐管理員的USER登入的,如果一定要登入本機可以修改本機原則
如下
http://support.microsoft.com/kb/285793/zh-tw

stoneck iT邦新手 2 級 ‧ 2008-06-11 17:33:02 檢舉

這個修改方法是正確的, 但是思考的重點應該是為何要讓非管理者登入AD 主機?
有特別的作用嗎? 難道連一般的應用系統都和AD 安裝在同一台主機喔, 不安全吧 ?? 呵..

22
花輪
iT邦大師 1 級 ‧ 2008-06-10 19:12:10

照bigmotor所說是有點奇怪:
您在xp上要登入AD,會用到ADMIN複製的帳號(有ADMINS權限)才可以登入是正常的,但為何修改本機原則及網域原則卻不行是不正常的。正常情況應該是不必修改GPO即可順利登入才對。而修改domain controller policy只是針對在DC上作本機登入的,與xp上都入無關。因此,我建議您在檢查以下幾點:
1) xp 是否join domain?
2) AD中是否有切site? site上是否有額外的GPO?
3) 能否將2個test user移至另行建立的ou中再測試一次看看。
4) 不允許非管理員帳號作本機登入僅針對DC有效(預設值)對client沒有影響!
5) 您在xp 上登入時是否有選擇該domain name還是只是登入xp本機?
6) 依您的描述,與利用終端機服務登入也沒關係。
7) GPO的套用規則中local policy是最先被套用,在domain或ou中若有不同的設定應該會被蓋掉,請在檢查一次,而且,最好請其他人在旁順便幫您看看,因為有時自己的眼睛是會不經意的忽略掉畫面中的某些部份的,不要堅持自己設定的一定不會錯,有時重來一次就解決了,這是我的經驗啦(也是許多IT人的通病!!)。

僅供參考 ^_^

看更多先前的回應...收起先前的回應...
bigmotor iT邦研究生 5 級 ‧ 2008-06-11 00:01:59 檢舉

1) xp 是否join domain?
我確定有加入domain,後來我退出domain,要在加進去時我發現,我預設的使用者也必須是複製server AD 裡的administrator所見的帳號才能加入成功,我總覺得我的電腦快爆炸了,所以下班時我重灌,還沒嚐試,明天會有新的動作

2) AD中是否有切site? site上是否有額外的GPO?
我沒有附加GPO,我直接在USER資料夾裡按右鍵建立使用者,但這樣在XP裡無法加入,一定要複製administrator才行 = =|||

3) 能否將2個test user移至另行建立的ou中再測試一次看看。
我已嘗試過重新建置但還是不行(下班前),明天再跟你報告新狀況

4) 不允許非管理員帳號作本機登入僅針對DC有效(預設值)對client沒有影響!
沒錯,可是我不知道為什麼這樣用才行耶,我也很納悶,你都沒有遇過嗎?

5) 您在xp 上登入時是否有選擇該domain name還是只是登入xp本機?
這我有確認過,我第一次登入時的確有選錯,但後來我確定睜大眼睛選擇使用者及網域登入

6) 依您的描述,與利用終端機服務登入也沒關係。
我沒有用終端機登入,我都是實機測試,因為我還不是很熟悉,我老大願意給我設備實做

7) GPO的套用規則中local policy是最先被套用,在domain或ou中若有不同的設定應該會被蓋掉
我一直都沒有使用過GPO耶,以前再練習時就一直沒用它,所以也就不習慣用它

**要怎樣才可以不用複製administrator,直接create就能登入**
T__________________________________________________T

bigmotor iT邦研究生 5 級 ‧ 2008-06-11 12:20:34 檢舉

現在...我又在server AD裡建立了TEST使用者,然後再XP client端加入domain成功
然後它叫我重新開機,重點來了...
重開機後...我選擇TEST登入,網域也選擇正確,密碼也沒有錯,但是他還是出現[系統的本機原則不允許您使用互動式登入]
T_____________________T

花輪 iT邦大師 1 級 ‧ 2008-06-11 23:24:54 檢舉

關於第二&四點, 我從沒碰過, 因為它是不正常的.
至於"要怎樣才可以不用複製administrator,直接create就能登入", 我沒遇過, SO也無法法判斷!
另外, 想請問您的SERVER是何版本? 能否在SVR重灌好後, 先將所有最新的Service Pack & Hotfix 更新後再做DCPROMO! 還有, 若是2003, 是否在DCPROMO之前, 先手動做一次domain prep等動作試試看.
至於其他..... 暫時沒想到!!
撇步:要不要對著SERVER拜一下看看, CCcccc....
^_^

misadm iT邦高手 10 級 ‧ 2008-06-12 09:25:12 檢舉

To Bigmotor:

感覺起來,您好像用同一台電鳥重複加入/移除網域。若是的話,建議您先改一個電腦名稱或是先將 AD 裡的電腦帳號刪除再重新加入網域試試看。

除此之外,我認為您有可能是 AD 的群組原則套用順序出了問題。建議您利用 GPMC 去觀察你整個網域套用的狀況,可能比較容易找到問題。

GPMC 下載位置:http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=zh-tw

另外有個文件您可以參考一下:
http://download.microsoft.com/download/5/c/1/5c18131d-a927-4441-8df0-c67ad90fa2e9/Group%20Policy.zip

misadm iT邦高手 10 級 ‧ 2008-06-12 13:55:01 檢舉

抱歉,在第一行有個『電鳥』是我打錯了,應該是『電腦』才對!
Sorry!! 手殘!打錯字!!

bigmotor iT邦研究生 5 級 ‧ 2008-06-13 00:14:07 檢舉

TO misadm & fran633
我的server是2003的,我那天重灌完後,在加入網域時發現一件事
我直接建立使用者(abc)可以加入,然後我再退出
第二次我在直接建立TEST使用者加入就不行了
我不信邪再試第一次的abc果然........還是不行
之後我在複製administrator取了一ㄍ帳號(我忘ㄌ我取什麼了)結果........可以加入,
重點是..........只是可以加入而已,並不能登入,登入時他依然顯示[本機不允許互動...]
基本上我快瘋了

後來我火大了,我在想如果第一次可以的話,那我就直接從會議室裡加進來就好了,結果一事可以加入也可以登入.

所以我的結論是...難道依台只能加一次網域嗎?可是我記得我之前加入退出好幾次都可以ㄚ,還有事不是我欲加入的使用者一定要跟XP的名子一樣呢?可是我記得之前不是ㄚ,我們會議室的電腦(原名是OFFICE)我也適用TEST加入登入耶!不解不解真得不解

我的確是同依台電腦加入退出,因為我手邊剩兩台電腦,一台拿來玩server,一台式公司配給我的個人電腦,所以我就自己組一組玩.

GPMC之前補習班有交過不過忘ㄌ這東西尬麻用ㄉ,謝謝你提醒,改天我在載來玩玩

重點是你們都沒發生過這情況嗎?
真是太神奇了

bigmotor iT邦研究生 5 級 ‧ 2008-06-18 00:17:26 檢舉

我的強制設定死掉ㄌ
不知道為什麼
好像用一段時間後就會這樣
好奇怪喔

misadm iT邦高手 10 級 ‧ 2008-06-18 10:11:15 檢舉

您是說 Group Policy 套用失敗嗎?若是的話,還是建議您先透過 GPMC 來觀察套用情形,否則很難斷定原因。

若確認 Policy 套用正常,而且也沒有阻斷繼承,那就要看 Client 端能不能找得到 AD 了!所以要檢查一下 Server 及 Client 的事件檢視器。若是有問題,都會有紀錄的。

我要發表回答

立即登入回答