Zrobiłem dzisiaj coś… potwornego. Na serwerze Windows Server 2008 R2 Foundation w Edytorze Zasad Grupy Lokalnej (gpedit.msc), wyłączyłem uprawnienia do logowania lokalnego (i niestety terminalowego także, niezależnie) dla grupy użytkowników „Użytkownicy”. O tak:
Okazało się jednak, że Administrator (ten główny) także do niej należy. Mogłem pracować tylko do momentu, kiedy na chwilę pozostawiłem serwer sam sobie i wygaszacz ekranu dokonał blokady konta. Wtedy dowiedziałem się, że uzyskałem doskonałą „czarną skrzynkę”. Serwer działał, usługi i bazy danych także, ale w żaden sposób nie dało się do niego zalogować. Deny local logon i już.
Podejrzewam, że cały problem wyniknął z tego, że Administrator Windows niejawnie należy do grupy „Użytkownicy” (system pokazuje, że należy tylko do grupy Administratorzy). Dzięki temu odmowa logowania dla grupy Użytkownicy objęła także Administratora – a odmowy mają priorytet nad zezwoleniami (to wszystko moje domysły, ale oparte na realnym doświadczeniu, które przyprawić może o niezły stresik).
W efekcie spędziłem 2,5 godziny gorączkowo poszukując sposobu na dostanie się do zawartości serwera.
Okazało się na szczęście, że nie straciłem dostępu do plików – da się zamontować przy pomocy net use udział C$ i w ten sposób czytać dysk (hasło administratora oczywiście znałem).
Po sprawdzeniu kilku różnych rozwiązań podpowiadanych przez sieć, udało mi się wreszcie trafić na właściwe.
Okazuje się, że można zmienić ustawienia uprawnień bezpieczeństwa i wyłączyć Deny Local Logon zdalnie.
Służy do tego programik ntrights.exe. Na moim komputerze (Windows Vista Professional 32Bit) miałem go zainstalowanego wraz z Resource Kit:
c:\Program Files\Windows Resource Kits\Tools\ntrights.exe
który z kolei pobrałem o ile dobrze pamiętam stąd:
http://www.microsoft.com/download/en/details.aspx?id=17657
Jak użyć ntrights.exe opisuje szczegółowo artykuł Microsoftu:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;279664
który jakkolwiek dotyczy Windows 2000, to zadziałał także u mnie.
Ja tylko podam dla ułatwienia, że mój problem rozwiązało polecenie:
ntrights.exe -u Użytkownicy -m \\moj_serwer -r SeDenyInteractiveLogonRight
czyli odebranie odmowy logowania – takie podwójne zaprzeczenie.
Dzięki temu udało się zalogować na serwer i poprawić ustawienia już zwykłym gpedit.msc