“误操作导致无法打开组策略”之局域网解决法
在微软中文新闻组里有网友问这么一个问题:在组策略→用户配置→管理模板→系统的“只运行许可的Windows程序”策略项里指定当前系统能够运行的应用程序,考虑到应该允许组策略的运行,所以把“gpedit.msc”添加到该策略项中,但是结果发现无法再也打开组策略窗口。
原来打开组策略的实质是启动MMC进程,然后加载gpedit.msc管理单元,所以在这里应该添加mmc程序,而不是gpedit.msc。如果添加了gpedit.msc,而不是mmc,导致系统无法启动mmc进程,就会导致无法打开组策略窗口。
遇到这类问题,比较容易想到的办法就是借助局域网的计算机打开故障系统的组策略管理单元,然后将策略项修改回原来的配置。
要使用该恢复方法,必须满足以下的使用条件:
(1) 该故障计算机必须处于局域网的环境中。
(2) 该故障计算机上的防火墙必须经过适当的配置,以允许远程访问组策略工具。
(3) 该故障计算机必须没有禁止管理员帐户从网络登录的权利。
(4) 该故障计算机上必须禁用“简单文件共享”。
(5)该故障计算机必须是Windows XP Pro或者Windows 2000。
恢复过程
假设故障计算机的计算机名为NoGpedit,位于工作组环境中,其上的管理员帐户名为Admin,密码为Passwd。假设局域网的另外一台正常计算机名为Test。
(1)在局域网计算机Test上打开运行对话框,并运行以下命令:
control userpasswords2
(2)在打开的对话框上切换到“高级”标签页,并单击其上的“管理密码”按钮。
(3)在打开的“存储用户名和密码”对话框上,单击“添加”按钮,在打开的对话框上输入NoGpedit计算机名和帐户名、密码,保存即可。
即可在Test计算机上获得NoGpedit计算机的管理员帐户Admin的凭据。
(4)在局域网计算机Test上的“运行”对话框里输入以下命令并回车:
gpedit.msc /gpcomputer:"NoGpedit"
(5)在Test计算机上打开NoGpedit计算机的组策略编辑窗口,修改相应的策略项回默认值即可。
(6)注销NoGpedit计算机,重新登录,结果即可生效。
类似方法:如果安全策略禁止所有管理员帐户本地登录,可以在局域网计算机上借助Ntrights命令远程给管理员组帐户赋予适当的本地登录的权利。
注意
根据MVP刘晖的提醒,其实只要在安全模式下登录到Administrator帐户环境下,即可绕过软件限制策略。本文只是为了提供一种解决问题的思路。