windows2003关于客户端加入域服务器时出现“未授于用户在此计算机的请求登录权限”的解决方案
来源:互联网 发布:网络传输性能指标 编辑:程序博客网 时间:2024/04/29 23:43
今日,遇到一个关于部署域服务器的饶舌问题,google了好久好久,终于有了起色!
【问题描述】
首要问题:安装部署完AD(Active Directory)和DNS域控制器,在服务端将域指向域服务器时,输入AD指定的用户名和密码,甚至输入了Administrator的用户和密码,出现“加入域时出现了一下错误:登录失败:未授予用户在此计算机的请求登录权限”,导致加入域无效。
通过google,此问题出现的原因是因为本地安全策略造成的。在处理本地安全策略过程中,出现了以下几个问题
1 客户端无法发现DNS解析域名,nslookup 仅能显示Address,Server Name:NONAME
2 修正本地安全策略中的从网络访问计算机和拒绝从网络访问计算机单元时,点击确定,出现莫名其妙修改错误:
出现了扩展错误。
未能保存"//longf.gd/sysvol/longf.gd/policies/{6ac1786c-11d2-016f.............}/machine/micorsoft/windows nt/secedit/GptTmpl.inf "
未能保存"//longf.gd/sysvol/longf.gd/policies/{6ac1786c-11d2-016f.............}/machine/micorsoft/windows nt/secedit/GptTmpl.inf "
3 运行 gpupdate /force /target:computer gpupdate 刷新计算机策略后,重新进入本地安全策略中的从网络访问计算机和拒绝从网络访问计算机单元时发现信息并没有被更改,甚是郁闷。
【解决方案】
问题1:
出现此原因的主要问题是DNS没有指定反向查找区域,添加后新建指针,此问题就可以解决了!
步骤:
1.反向查找区域-新建区域,下一步
2.选择主要区域(创建一个可以直接在这个服务器上更新的区域副本
3.下一步
4.选择域的所有DNS服务器
5.下一步
6.网络ID为局域网区域的IP段,生成反向查找区域名称为逆向ip,填写此处网络ID直接填写正向的IP区域即可,如192.168.11;
7.下一步
8.完成
9.接着刷新反响查找区域树,选择x.x.x.x Subnet -新建指针(PTR)
主机IP号:填写域服务器主机的IP 如(192.168.11.)2 ,只要填写末尾即可,反响查找区域建立已经填写反向IP段;
主机名:此处填写必须要带有domain.com字段的主机名,如:w1.proxy.com,或者浏览 主机名(w1)-正向查找区域-区域(proxy.com)-选择主机(192.168.11.2);
10.确定,此处反向查找区域就配置完成了
在客户端cmd 运行nslookup查看,即会出现Server Name:w1.proxy.com Address:192.168.11.2
同时也可以测试 nslookup w1.proxy.com 同样也能得到结果,便是DNS在客户端成功解析。
问题2:
1. 打开 %windir%/SYSVOL/domain/Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf
注:如果你的SYSVOL不在上述位置,请自行更改为正确的路径。但是{6AC1786C-016F-11D2-945F-00C04fB984F9}这个GUID是固定的,表示Default Domain Controllers Policy
2. 找到以下这行:SeNetworkLogonRight = *S-1-1-0……(会有很多SID,表示每个用户或组)
3. 删除掉SeNetworkLogonRight = *S-1-1-0……这一整行设定值,包括"SeNetworkLogonRight =” 注意不要影响到其它设定参数
注:如果你的SYSVOL不在上述位置,请自行更改为正确的路径。但是{6AC1786C-016F-11D2-945F-00C04fB984F9}这个GUID是固定的,表示Default Domain Controllers Policy
2. 找到以下这行:SeNetworkLogonRight = *S-1-1-0……(会有很多SID,表示每个用户或组)
3. 删除掉SeNetworkLogonRight = *S-1-1-0……这一整行设定值,包括"SeNetworkLogonRight =” 注意不要影响到其它设定参数
4.开始-运行 gpupdate /force /target:computer 刷新计算机策略
5.开始-运行 secpol.msc,检查“从网络访问此计算机”的设定值,这时应该能够正常编辑本地安全策略的这个设定了,请编辑成正确的值,保存,退出
5.开始-运行 secpol.msc,检查“从网络访问此计算机”的设定值,这时应该能够正常编辑本地安全策略的这个设定了,请编辑成正确的值,保存,退出
问题3:
问题2解决后,问题3问题自然解决!
备注:
从网络访问此计算机的设定值包含:
Administrators
Authenticated Users
Everyone
Enterprise Domain Controllers
Pre-Windows 2000 Compatible Access
Administrators
Authenticated Users
Everyone
Enterprise Domain Controllers
Pre-Windows 2000 Compatible Access
允许在本地登录的设定值包含:
Administrators
Backup Operators
Account Operators
Server Operators
Print Operators
Administrators
Backup Operators
Account Operators
Server Operators
Print Operators
/#############################################################################################/
- windows2003关于客户端加入域服务器时出现“未授于用户在此计算机的请求登录权限”的解决方案
- 在配置windows2003域控时出现“未授予用户在此计算机上的请求登录类型”错误提示的解决方法
- 访问时出现:未授予用户在此计算机上的请求登录类型的解决方法
- 未授予用户在此计算机上的请求登录类型 登录失败的解决方案
- 登录失败:未授予用户在此计算机上的请求登录类型
- 登录失败:未授予用户在此计算机上的请求登录类型”
- 未授予用户在此计算机上的请求登录类型
- 未授权用户在此计算机上的请求登录类型
- Win7提示未授予用户在此计算机上的请求登录类型
- 解决:Win7提示未授予用户在此计算机上的请求登录类型
- 未授予用户在此计算机上的请求登录类型解决方法
- 未授予用户在此计算机上的请求登录…
- Win7提示未授予用户在此计算机上的请求登录类型
- XP中“登录失败:未授予用户在此计算机上的请求登录类型”的解决
- XP中“登录失败:未授予用户在此计算机上的请求登录类型”的解决办法
- XP中“登录失败:未授予用户在此计算机上的请求登录类型”的解决办法
- XP中“登录失败:未授予用户在此计算机上的请求登录类型”的解决
- win10无法访问共享文件夹,登录失败,未授予用户在此计算机上的请求登录类型
- Character Pointers and Character Arrays
- 程菲比刘翔更需要抚慰
- AOP技术基础
- finalize()用法
- LIGHTTPD+FASTCGI+WEB.PY ON DEBIAN
- windows2003关于客户端加入域服务器时出现“未授于用户在此计算机的请求登录权限”的解决方案
- ASCII码表
- Big/Little endian, union, bitfield
- 理解学习PHP编码规范之注释和文件结构
- 编程初学者的良言警句
- linux学习笔记(转载至chinaunix)
- C#播放rm文件
- AOP——引言
- Java平台AOP技术研究