本帖最后由 羊羔助手 于 2023-1-20 11:00 编辑
关于“Group Policy Client 服务未能登录。拒绝访问。”的解决方案,网络上所搜索到的通过解禁和启动“Group Policy Client”服务的做法其实是错误的。因为即便“GroupPolicy Client”服务被禁了,Windows系统也是能够正常登录的,只是“组策略”等相关管理项目被禁止使用了而已。
注意系统登录失败后,Windows系统给出的提示——“拒绝访问”。很明显,这是当前用户对系统的访问权限出现了问题,在登录时阻止了该用户对系统的访问,而问题根源可能发生在当前用户的配置文件中;而出现这个问题的原因可能是病毒破坏或数据迁移造成的。
(图片源于网络)
在系统根目录(C盘)下的“Users”文件夹中储存着当前计算机的所有用户目录,而在每个用户的目录下都会有一个名为“NTUSER.DAT”的用户配置文件。当Windows系统准备进入桌面时,就会加载和读取这些配置文件以便在桌面上展示当前的用户信息。但是在加载“NTUSER.DAT”文件的过程中如果访问受限读取信息失败,就会出现“GroupPolicy Client 服务未能登录。拒绝访问。”的这一幕。
“NTUSER.DAT”是一个数据集文件,只能通过“注册表编辑器”来打开它进行修改。注册表五大根项之一的“HKEY_CURRENT_USER”就是加载的当前用户目录下的“NTUSER.DAT”文件。同时它也是一个拥有“系统”属性的隐藏文件,需要在“文件夹选项”中关闭“隐藏受保护的操作系统文件(推荐)”和开启“显示隐藏的文件、文件夹和驱动器”才能看到。
当前用户无权登录到系统桌面,也就意味着无法访问和修改注册表。但是当前用户访问受限并不代表着其它用户也访问受限,因为计算机中还隐藏着一个超级管理员用户“Administrator”,所以可以通过登录“Administrator”用户的注册表来修改受限用户的“NTUSER.DAT”文件。操作方法是重启电脑按“F8”键进入“安全模式”,系统会自动解禁“Administrator”用户并给出登录选项。进入“Administrator”用户,打开“注册表编辑器”——“文件”——“加载配置单元”,把受限用户目录的“NTUSER.DAT”文件添加进来,“项名称”随意命名。
鼠标右键这个被加载的受限用户的注册表项目,在菜单中选择“权限”——“安全”——“高级”,在“高级安全设置”中先选择“所有者”选项卡,然后将“所有者”的用户更改为管理员组“Administrators”,这一步骤是为了给予稍后对注册表项目的操作权限。
然后返回“权限”选项卡,依次添加“受限用户名”、“SYSTEM”、“Administrators”这三个用户。其中,受限用户的用户名一定要添加进去,“Group Policy Client 服务未能登录。拒绝访问。”的提示就是因为指向该用户的用户名丢失。其次,“Administrators”也要添加进去。该用户属于管理员组,添加后方便隶属于“Administrators”的用户对其进行维护。而后,“SYSTEM”用户也要添加进去。虽然管理员组用户“Administrators”就能解锁大部分访问权限,但是SYSTEM用户的权限高于“Administrators”用户的权限,如果不添加此用户,可能会导致Windows系统无法对该用户进行配置,甚至还会导致一些系统程序无法在该用户的页面中运行。在权限项目列表中,还有一个“RESTRICTED”用户,由Windows操作系统安装时默认添加。该用户属于受限用户,只存在于注册表中,应该与服务器的数据库维护有关,不受实机操作影响。而且“RESTRICTED”用户在“立即查找”中也找不到,所以可添加或不添加。
最后选定受限用户的注册表项目,“文件”——“卸载配置单元”,注销用户或重启计算机即可。
—— 羊羔助手(Lamb Assistant) | 
发表于 2023-1-19 22:00:05
