Jak diagnozować i rozwiązywać problemy z logowaniem lokalnym w systemach Windows 2000

W systemach Windows objętych zakresem tego artykułu uprawnienia do logowania się lokalnego w systemie oraz logowania się do sesj usług terminalowych jest kontrolowane przez zestaw uprawnień przyznawanych użytkownikom. W systemach tych możliwe jest odebranie wszystkim użytkownikom prawa do logowania się lokalnego poprzez ustawienia GPO na poziomie domeny lub lokalne ustawienia zabezpieczeń, tym samym uniemożliwiając dostęp do konsoli systemu.
Artykuł ten opisuje możliwe sposoby przywrócenia dostępu do systemu objętego przedstawionym powyżej problemem w przypadku gdy system ten jest dostępny w sieci oraz posiadamy uprawnienia administratora w objętym problemem systemie.

W systemach z rodziny Windows 2000 możliwe jest odebranie wszystkim użytkownikom prawa do logowania się lokalnego poprzez ustawienia GPO na poziomie domeny lub lokalnie.

Uprawnienia do logowania lokalnego kontrolowane są poprzez dwa prawa użytkownika:

  • prawo “Log on locally”: pozwalajÄ…ce na logowanie siÄ™ lokalne użytkownika do systemu
  • prawo “Deny log on locally”: zabraniajÄ…ce logowania siÄ™ użytkownika lokalnie do systemu.

Ustawienia te w definiji GPO znajdujÄ… siÄ™ w gaÅ‚Ä™zi “Computer configuration -> Windows Settings -> Security settings -> Local Policies -> User Rights assignment”.
Ustawienia tych praw nie wpływają na możliwość logowania się do systemy poprzez zasoby sieciowe, obejmują jednak dostęp użytkownika do usług terminalowych.

W przypadku gdy ustawienia systemu podłączonego do sieci nie pozwalają użytkownikowi na dostęp lokalny do systemu, ze względu na możliwe sposoby postępowania wyróżnić możemy dwa przypadki:

  1. Prawo do logowania się lokalnego zostało odebrane na poziomie domeny.
  2. Komputer na którym odebrano prawo logowania lokalnie.

Postępowanie w celu odzyskania uprawnień do logowania sie lokalnego w poszczególnych przypadkach przedstawione zostało poniżej.

AD. 1 Prawo do logowania lokalnego zostało odebrane poprzez obiekt GPO nałożone na poziomie domeny Active Directory

W przypadku gdy ograniczenia logowania lokalnego wynikają z ustawień obiektów GPO którymi objęta jest stacja należy zlokalizować i zmienić ewentualne ustawienie powodujące problem.
Do zdiagnozowania problemu z GPO z poziomu systemu objętego problemem użyjemy narzędzia gpresult.exe. Narzędzię to jest dla systemów z rodziny Windows 2000 bezpłatnie dostępne ze strony Microsoft.
W celu analizy wyników działania GPO na zdalnym systemie należy połączyć się do niego zdalnie i wykonać polecenie gpresult. W zależności od systemu z poziomu którego wykonujemy operację należ:

  • w systemie Windows 2000:
  1. Uruchomić interpreter linii poleceń cmd.exe.
  2. NawiÄ…zać polecenie z systemem poprzez sieć – net use \\\ipc$ password /user:\.
  3. Połączyć się zdalnie do lini poleceń. Połączenie to można nawiązać poprzez usługę Telnet jeżeli jest ona dostępna lub przy pomocy polecenia psexec.exe (www.sysinternals.com użytego do uruchomienia powłoki cmd.exe na zdalnym systemie. Polecenie to w takim przypadku przybiera postać:
    c:\PsTools>psexec.exe \\ cmd.exe
  4. Z poziomu powłoki systemu zdalnego wykonać polecenie:
    c:\>gpresult.exe /v
  • w systemie Windows XP/2003:
  1. Uruchomić interpreter linii poleceń cmd.exe.
  2. Z poziomu linii poleceń wykonać komendę:
    c:\>gpresult.exe /S  /V

    gdzie jest nazwą systemu objętego problemem.

Po zidentyfikowaniu obiektu GPO z którego wynikają ustawienia zabraniające logowania się lokalnego do systemu, w celu rozwiązania problemu należy:

  • zmodyfikować ustawienia obiektu GPO z którego wynikajÄ… problemy, lub
  • utworzyć obiekt GPO nadpisujÄ…cy ustawienia poprzedniego obiektu bliżej lokalizacji stacji lub na tym samym poziomie z wyższym priorytetem
  • wyjÄ™cie komputeraz spoza zakresu dziaÅ‚ania GPO poprzez modyfikacjÄ™ praw do obiektu GPO.

AD. 2 Prawo do logowania lokalnego zostało odebrane poprzez loklany obiekt GPO i komputer jest dostępny w sieci

W celu nadania odpowiednich uprawnieÅ„ użytkownikom z grupy Administrators należy doÅ‚Ä…czyć do istniejÄ…cej defnicji obiektów zabezpieczeÅ„ definicjÄ™ dla uprawnienia “Log on locally” dla wybranych grup. W tym celu należy przygotować odpowiedni plik definicji:

  1. Uruchomić konsolÄ™ MMC (Start -> Run -> mmc.exe). Wybrać opcjÄ™ “File -> Add/Remove snap-in ->Add”, wybrać przystawkÄ™ “Security templates”, zatwierdzić wybór poprzez przycisk “Add”, zamknąć okno wyboru przyciskiem “Close”. Zamknąć okno wyboru przystawki przyciskiem “OK”.
  2. Stworzyć nowÄ… Å›cieżkÄ™ wyszukiwania szablonów bezpieczeÅ„stwa poprzez wskazanie prawym klawiszem “Security templates” i wybór opcji “New Template Search Page”. W oknie dialogowym wybieramy dowolny folder (np. C:\Templates\Security).
  3. Wskazać prawym klawiszem wÄ™zeÅ‚ utworzonej Å›cieżki przeszukiwania, wybrać opcjÄ™ “New Template”, w polu “Template name” wpisać nazwÄ™ szablonu (np. “logOnLocally”).
  4. W nowo utworzonym szablonie wybrać Å›cieżkÄ™ “Local policies -> User Rights assignment”.
  5. Wskazać dwoma klikniÄ™ciami uprawnienie “Log on locally”, zaznaczyć w opcjach uprawnienia “Define this policy settings in template”.
  6. Nacisnąć przycisk “Add user or Group …”. W oknie wyboru podać odpowiednie grup, na przykÅ‚ad “Administrators”. Zaakceptować wybór przciskiem “OK”. Zaakceptować wybór przyciskiem “Apply”. Zamknąć definicjÄ™ uprawnienia przyciskiem “OK”.
  7. Zapisać definicjÄ™ szablonu poprzez wskazanie prawym klawiszem wÄ™zÅ‚a oznaczonego nazwÄ… szablony i wybór opcji “Save”.
  8. Zamknąć konsolę MMC.

    PrzykÅ‚adowy plik definicji szablonu z uprawnienieniem “log on locally” dla grupy administratorów znajduje siÄ™ poniżej:

    ;Plik definicji szablonu zabezpieczeń logonlocally.inf
    [Unicode]
    Unicode=yes
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [Privilege Rights]
    SeInteractiveLogonRight = *S-1-5-32-544
  9. Uruchomić interpreter linii poleceń cmd.exe.
  10. NawiÄ…zać polecenie z systemem poprzez sieć – net use \\\ipc$ password /user:\.
  11. Z poziomu linii poleceń przejść do folderu w kórym zapisany został utworzony szablon zabezpieczeń.
  12. Skopiować szablon zabzepieczeń na stację objęta problemem za pomocą polecenia copy:
    copy \\\c$\.
  13. Połączyć się zdalnie do lini poleceń. Połączenie to można nawiązać poprzez usługę Telnet jeżeli jest ona dostępna lub przy pomocy polecenia psexec.exe (www.sysinternals.com) użytego do uruchomienia powłoki cmd.exe na zdalnym systemie. Polecenie to w takim przypadku przybiera postać:
    c:\PsTools>psexec.exe \\ cmd.exe
  14. Z poziomu linii poleceń dołączyć skopiowany szablon do bieżącej konfiguracji systemu. Operacji tej dokonujemy poprzez polecenie secedit wywołane z opcją /configure. Przykładowe wywołanie tego polecenia dla pliku szablonu o nazwie LogOnLocally.inf z folderu w którym znajduje się ten plik wygląda następująco:
    secedit /configure /DB c:\winnt\logon.db /CFG LogOnLocally.inf
    /log c:\logon.log /verbose
  15. Po wykonaniu tej operacji powinniśmy odzyskać możliwość zalogowania się lokalnie do konsoli stacji na której wykonaliśmy tą operację.

W przypadku gdy grupa “Users” zostaÅ‚a dodana do listy uprawnienia “Deny log on locally” możliwe jest naprawienie tego problemu zgodnie z nastÄ™pujÄ…cÄ… procedurÄ…:

  1. Uruchomić interpreter linii poleceÅ„ cmd.exe. NawiÄ…zać polecenie z systemem poprzez sieć – net use \\\ipc$ password /user:\.
  2. Uruchomić konsolÄ™ “computer Management” (Start -> Run -> compmgmt.msc).
  3. Prawym klawiszem myszy wskazać “Computer management (local) , nastÄ™pnie wybrać opcje “Connect to another computer”.
  4. OkreÅ›lić nazwÄ™ komputera, zatwierdzić jÄ… poprzez “OK”.
  5. Przejść do opcji “\system tools\local users and groups\groups\”, otworzyć wÅ‚aÅ›ciwoÅ›ci grupy “Users”. Usunąć z listy czÅ‚onków grupy “users” grupy “Authenticated Users” oraz “INTERACTIV”. zatwierdzić zmiany w grupie “Users”.
  6. Po wykonaniu tych czynności użytkownik powinien być w stanie zalogować się do systemu na uprawnieniach lokalnego administratora.
  7. Po zalogowaniu siÄ™ do systemu należy skorygować ustawienia GPO zabraniajÄ…ce logowania siÄ™ grupie “Users” do systemu.
  8. Po dokonaniu zmian w odpowiednim GPO należy przywrócic czÅ‚onkostwo grup “Authenticated Users” oraz “INTERACTIV” w grupie “users”.

Artykuł ten dotyczy następujących systemów:

  • Windows 2000 Pofessional
  • Windows 2000 Server