為何不能交互式登陸？前一段時(shí)間做了一個(gè)win2000的終端網(wǎng)，采用win2000 application server終端服務(wù)模式+citrix(sp3)，客戶機(jī)上出現(xiàn)登陸窗口，以域用戶賬號(hào)登陸便會(huì)出現(xiàn)提示:計(jì)算機(jī)不允許交互式登陸,而用administrator登陸卻沒有問題，開始有點(diǎn)吶悶，這個(gè)問題怎么同NT或win2000的非本地賬號(hào)登陸域服務(wù)器出現(xiàn)的問題一樣，后來查了一查資料，頓時(shí)明白過來。在這里我必須講一講NT和win2000的身份驗(yàn)證機(jī)制。NT和win2000針對(duì)域用戶賬號(hào)登陸的驗(yàn)證分別是通過NTLM和Kerberos協(xié)議,而對(duì)本地賬號(hào)登陸的驗(yàn)證是MSV1_0協(xié)議，用戶通過提供登陸信息（如用戶名和密碼）,服務(wù)器將這些信息發(fā)送到服務(wù)器上的驗(yàn)證機(jī)構(gòu)，驗(yàn)證機(jī)構(gòu)通過比較儲(chǔ)存在本地的數(shù)據(jù)庫(kù)文件(SAM)來判斷此用戶的身份真實(shí)性，如果通過，就會(huì)向用戶發(fā)送一個(gè)令牌，此訪問令牌即token,又稱為SID.在原來的NT模式下,由于域之間的信任關(guān)系是單向的，不可傳遞的，所以一個(gè)域用戶要獲得另一個(gè)域的資源訪問權(quán)限，必須手工建立信任關(guān)系，授權(quán)該用戶的訪問權(quán)限。而在現(xiàn)在的win2000模式下,每個(gè)用戶的token是SID+域ID,即GUID,在一個(gè)森林中是永遠(yuǎn)不變的，他是由每域的RID主機(jī)（相對(duì)關(guān)系主機(jī)）來分配的。SID在每個(gè)域中是獨(dú)一無二的，但在其他域中也可能出現(xiàn)同樣的SID，但是由于域ID的不同，所以二者的GUID就不可能相同。但這必須建立在Kerberos協(xié)議的基礎(chǔ)上，kerberos提供了域之間可傳遞的，雙向的信任關(guān)系，即A信任B，B信任A；A信任B，B信任C，A信任C。當(dāng)然也可手工調(diào)整，一個(gè)用戶僅僅具有一個(gè)token是不夠的,token只能保證用戶是否能在該域或本地計(jì)算機(jī)上的登陸權(quán)限，而用戶是否能對(duì)資源的訪問及系統(tǒng)權(quán)限是由ACL及ACE來控制的。ACL(Access control list)是每個(gè)文件及文件夾的用戶組及用戶訪問控制列表，而ACE（Access control entry)是具體的訪問類型（如read,write等等). 說了這么多，我再談一談針對(duì)win2000域環(huán)境下本地交互登陸的機(jī)制，眾所周知，win2000對(duì)于用戶登陸的驗(yàn)證采用的是kerberos協(xié)議,當(dāng)一個(gè)本地用戶登陸到域服務(wù)器，GINA(Graphical identification and authentication)圖形標(biāo)示符及身份驗(yàn)證Dll收到登陸請(qǐng)求，就會(huì)將其轉(zhuǎn)發(fā)到LSA（本地權(quán)威機(jī)構(gòu)），而在WIN2000下由于Kerberos是默認(rèn)的驗(yàn)證機(jī)制，所以就請(qǐng)求kerberos來驗(yàn)證身份,而kerberos收到身份驗(yàn)證請(qǐng)求之后，便會(huì)出現(xiàn)錯(cuò)誤信息，因?yàn)閗erberos是用來驗(yàn)證域用戶賬號(hào)而非本地賬號(hào)，此時(shí)LSA收到錯(cuò)誤信息，會(huì)將其轉(zhuǎn)發(fā)到GINA，GINA在將指定了MSV1_0協(xié)議的LSA來驗(yàn)證身份，如果通過則完成本地交互式登陸。 說了這么多,到底跟終端用戶登陸到服務(wù)器有什么關(guān)系。終端用戶不是通過網(wǎng)絡(luò)登陸嗎？又不是本地登陸，那為什么RPLWIN9598,PXEWIN98的客戶登陸服務(wù)器不會(huì)出現(xiàn)同樣的問題呢？這就是WIN2000終端與RPLWIN9598,PXEWIN98的不同之處，終端顧名思義實(shí)際上只是客戶通過鍵盤輸入，發(fā)送指令到服務(wù)器，并沒有大量的數(shù)據(jù)傳送，最后通過客戶機(jī)的顯示器輸出結(jié)果，實(shí)際上是一個(gè)遠(yuǎn)程控制的原理，而RPLWIN9598,PXEWIN98通過把客戶機(jī)上的文件共享到服務(wù)器上，從而達(dá)到訪問服務(wù)器的目的，其間有大量的數(shù)據(jù)的傳輸,實(shí)際上是一個(gè)遠(yuǎn)程訪問的原理。遠(yuǎn)程控制與遠(yuǎn)程訪問的最大不同是遠(yuǎn)程控制是工作發(fā)生在遠(yuǎn)程服務(wù)器上，將消耗大量的遠(yuǎn)程服務(wù)器的cpu時(shí)間，而遠(yuǎn)程訪問工作主要發(fā)生在本地客戶機(jī)上，需要消耗大量的客戶機(jī)cpu的時(shí)間.現(xiàn)在的眾多遠(yuǎn)程控制的黑客軟件大多是采用的就是遠(yuǎn)程控制的原理，如冰河,BO等等。 終端實(shí)際上就是一個(gè)本地登陸的過程，所以采用的客戶賬號(hào)必須是本地賬號(hào)?，F(xiàn)在我就給大家提供具體的解決辦法：win2000的得意之作GPO，即group policy object,win2000把以前NT要通過修改注冊(cè)表或者運(yùn)行poledit.exe修改Ntconfig.pol文件才能達(dá)到配置政策的目的，通過GPO來實(shí)現(xiàn)一個(gè)超強(qiáng)功能的中央集權(quán)的組政策，此政策是建立在活動(dòng)目錄(Active Directory)基礎(chǔ)之上的，活動(dòng)目錄又是通過DNS來定位服務(wù)的。所以如果要使用GPO，就必須在安裝完 WIN2000 SERVER+DNS之后，通過DCPROMO.EXE程序來安裝活動(dòng)目錄，才能使用GPO.安裝完活動(dòng)目錄之后，點(diǎn)擊開始-程序-管理工具-Active Directory用戶和計(jì)算機(jī),出現(xiàn)圖1畫面右擊所在域(本例是)-屬性-組政策，如圖2所示點(diǎn)擊選項(xiàng)，選中禁止覆蓋入圖3所示點(diǎn)擊default domain policy,選擇編輯進(jìn)入GPO窗口。選擇計(jì)算機(jī)配置-windows設(shè)置-本地策略-用戶權(quán)利指派（如圖4）在允許本地登陸的選項(xiàng)卡上將終端用戶所在的組添加上（如圖5）關(guān)閉所有窗口。打開win2000的命令處理窗口，運(yùn)行secedit /refreshpolicy machine_policy,再在事件查看器去看一下政策是否已成功運(yùn)用。再在客戶機(jī)上用已添加的終端客戶賬號(hào)登陸，ok,pass.呵呵，透露一個(gè)小秘密，這個(gè)問題出現(xiàn)在win2000的MCP-215的考試中，希望各位做對(duì)。最后留下我的EMAIL:,希望與熱愛電腦技術(shù)的朋友共同進(jìn)步.一、編輯組策略 1、允許用戶登陸本計(jì)算機(jī) 在OU里面右鍵屬性組策略新建策略編輯策略計(jì)算機(jī)配置WINDOWS設(shè)置安全設(shè)置本地策略用戶權(quán)限分配允許在本地登陸。用gpupdate /force 命令刷新。 2、拒絕用戶訪問運(yùn)行、CMD、以及批處理文件。 1、在要設(shè)定的OU上點(diǎn)擊右鍵屬性組策略編輯策略用戶配置管理摸板任務(wù)欄和開始菜單刪除開始菜單上的運(yùn)行菜單。用gpupdate /force 命令刷新。 2、在要設(shè)定的域控制器點(diǎn)擊右鍵屬性組策略編輯策略用戶配置管理摸板系統(tǒng)阻止用戶訪問命令提示符繼續(xù)點(diǎn)擊下面的的選項(xiàng)是否拒絕使用批處理文件處理選擇“是”。用gpupdate /force 命令刷新。二、拒絕繼承權(quán)限 1、在下一級(jí)的OU上屬性組策略禁止策略的繼承。用gpupdate /force 命令刷新。三、強(qiáng)制繼承 1、在上一級(jí)的OU上屬性組策略選項(xiàng)禁止替代鉤上。用gpupdate /force 命令刷新。四、過濾用戶（特定的人群） 1、在要設(shè)定的OU上屬性組策略屬性安全添加用戶給予權(quán)限拒絕組策略。用gpupdate /force 命令刷新。五、桌面管理 1、在要設(shè)定的OU上屬性組策略編輯組策略用戶配置管理模板桌面Active desktop啟用Active desktop啟用Active desktop墻紙輸入對(duì)應(yīng)的主機(jī)的地址和共享文件。 2、用戶配置管理模板系統(tǒng)CTRL+ALR+DEL選項(xiàng)。六、密碼策略 1、在域控制器上屬性組策略新建組策略編輯組策略計(jì)算機(jī)配置安全設(shè)置（1、密碼策略 2、帳戶鎖定策略）七、組策略腳本 1、當(dāng)用戶啟動(dòng)時(shí)啟動(dòng)腳本登陸腳本 2、當(dāng)用戶注銷時(shí)注銷腳本關(guān)機(jī)腳本 3、wscript.echo內(nèi)容 后綴改為“VBS” 1、建立腳本2、點(diǎn)開域控制器屬性組策略添加組策略編輯組策略用戶配置（計(jì)算機(jī)配置）WINDOWS設(shè)置腳本雙擊登陸顯示文件把腳本文件拖進(jìn)去3、在點(diǎn)擊添加寫入文件名就可以了。8、文件重定向 1、漫游文件用戶右健屬性配置文件輸入文件夾路徑在指定的計(jì)算機(jī)上創(chuàng)建文件夾共享以及共享權(quán)限安全權(quán)限在計(jì)算機(jī)上注銷。 2、文件夾重定向1、不管從哪一臺(tái)機(jī)器登陸，都可以訪問所需的數(shù)據(jù)。2、數(shù)據(jù)集中存儲(chǔ) 創(chuàng)建帳號(hào)在指定OU上右鍵屬性組策略編輯組策略用戶配置WINDOWS設(shè)置文件重定向我的文檔配置9、強(qiáng)制漫游 找到指定文件NTUSER.DAT改MAN10、權(quán)限委派 1、 在OU上右鍵委派添加帳號(hào)（MARY）刪除、創(chuàng)建 在指定OU上右鍵控制委派添加帳號(hào)（TOM）刪除、創(chuàng)建策略管理 2、刪除委派 查看高級(jí)在OU上屬性安全高級(jí)刪除權(quán)限11、軟件分發(fā)（SMS） （后綴名為MSI） 1、軟件分發(fā)的好處：1、自動(dòng)安裝 2、自動(dòng)修復(fù) 3、自動(dòng)升級(jí) 4、遠(yuǎn)程刪除 2、軟件分發(fā)的方式：1、發(fā)布給用戶 2、指派給用戶 3、指派給計(jì)算機(jī) 3、軟件發(fā)布的過程：1、在指定OU上新建帳號(hào)建立共享（軟件）建立組策略編輯用戶配置軟件設(shè)置軟件安裝右鍵屬性UNC 路徑右鍵新建程序包發(fā)布（添加程序里面）指派（在開始菜單）部署下面（登陸安裝） 升級(jí)軟件右建軟件