✅作者简介：2022年博客新星 第八。热爱国学的Java后端开发者，修心和技术同步精进。
🍎个人主页：Java Fans的博客
🍊个人信条：不迁怒，不贰过。小知识，大智慧。
💞当前专栏：Java案例分享专栏
✨特色专栏：国学周更-心性养成之路
🥭本文内容：解决Windows Server 2016本地登录失败但远程登录正常的问题：排查与解决方案
 
前些天发现了一个巨牛的人工智能学习网站，通俗易懂，风趣幽默，忍不住分享一下给大家。点击跳转到网站。

前言

  在使用Windows Server 2016时，有时会遇到本地登录失败而远程登录正常的问题。这种情况可能涉及多个方面的配置和设置，尤其是当服务器作为Active Directory (AD) 域控制器部署时。本文将探讨可能的原因，并提供解决方案，以帮助您排查和解决这个问题。无论您是系统管理员还是普通用户，都可以从本文中获得有用的信息，以确保您的Windows Server 2016正常运行。让我们一起来了解如何解决本地登录失败的问题吧！

一、问题分析

1. 用户帐户配置

  当出现本地登录失败而远程登录正常的问题时，首先需要检查用户帐户的配置。特别是在Active Directory (AD) 域环境中，以下是一些可能的原因和解决方案：

确保用户帐户被允许本地登录：

• 检查用户帐户的属性，确保“允许本地登录”选项已启用。
• 可以使用以下 PowerShell 命令来检查和修改用户帐户的“允许本地登录”属性：

# 检查用户帐户的“允许本地登录”属性
Get-ADUser -Identity <用户名> | Select-Object Name, UserPrincipalName, Enabled# 启用用户帐户的“允许本地登录”属性
Set-ADUser -Identity <用户名> -Enabled $true

检查帐户是否被锁定或禁用：

• 确保用户帐户没有被锁定或禁用。可以在AD域控制器上使用以下命令来检查和解锁用户帐户：

# 检查用户帐户的锁定状态
Get-ADUser -Identity <用户名> | Select-Object Name, UserPrincipalName, LockedOut# 解锁用户帐户
Unlock-ADAccount -Identity <用户名>

确保用户帐户在AD域中是有效的：

• 检查用户帐户是否存在于AD域中，并且没有任何同步或复制问题。
• 可以使用以下命令来验证用户帐户的存在和有效性：

# 检查用户帐户是否存在于AD域中
Get-ADUser -Identity <用户名># 检查用户帐户的同步状态
Get-ADSyncConnectorRunStatus -ConnectorName <连接器名称>

  请注意，上述代码示例中的<用户名>和<连接器名称>应替换为实际的用户名和连接器名称。

2. 组策略设置

  当出现本地登录失败而远程登录正常的问题时，组策略的设置可能会对本地登录权限产生影响。在域控制器上，您可以按照以下步骤检查和调整组策略设置：

打开组策略编辑器：

• 在域控制器上，按下Win + R键，输入"gpedit.msc"并按Enter键，打开组策略编辑器。

导航到本地策略设置：

• 在组策略编辑器中，展开“计算机配置” → “Windows 设置” → “安全设置” → “本地策略”。

检查用户权限分配：

• 在本地策略下，找到“用户权限分配”文件夹，并点击打开。
• 确认以下两个策略设置：
  • “通过远程桌面服务允许登录”：确保需要允许本地登录的用户组（如“Domain Users”）被添加到该策略中。
  • “本地登录”：同样，确保需要允许本地登录的用户组被添加到该策略中。

修改策略设置：

• 双击要修改的策略，点击“添加用户或组”按钮。
• 输入需要添加的用户组名称（如“Domain Users”），点击“检查名称”按钮，确保名称正确。
• 点击“确定”按钮保存修改。

  请注意，上述步骤是在域控制器上进行的。修改组策略后，等待一段时间或使用gpupdate /force命令来强制更新组策略。这样，您应该能够解决Windows Server 2016上本地登录失败的问题。

3. 密码策略

  当出现本地登录失败而远程登录正常的问题时，密码策略可能是一个需要检查的因素。确保本地登录的密码符合密码策略的要求，如密码复杂度和历史密码策略。以下是在域控制器上检查密码策略设置的步骤：

打开组策略编辑器：

• 在域控制器上，按下Win + R键，输入"gpedit.msc"并按Enter键，打开组策略编辑器。

导航到密码策略设置：

• 在组策略编辑器中，展开“计算机配置” → “Windows 设置” → “安全设置” → “账户策略”。
• 在“账户策略”下，找到“密码策略”文件夹，并点击打开。

检查密码策略设置：

• 在密码策略文件夹中，可以找到以下密码策略设置：
  • 密码长度要求
  • 密码复杂性要求
  • 历史密码要求
  • 密码过期时间

修改密码策略设置：

• 双击要修改的密码策略，根据需要进行相应的更改。
• 例如，如果密码复杂性要求过高导致本地登录失败，您可以降低密码复杂性要求。

  请注意，上述步骤是在域控制器上进行的。修改密码策略后，等待一段时间或使用gpupdate /force命令来强制更新组策略。这样，您应该能够解决Windows Server 2016上本地登录失败的问题。

4. Windows安全设置

  对于Windows安全设置，您需要确保没有启用“拒绝本地登录”策略，并检查是否存在其他安全软件或防火墙阻止本地访问。以下是详细阐述：

确保没有启用“拒绝本地登录”策略：

• 在组策略编辑器中，导航到“计算机配置” → “Windows 设置” → “安全设置” → “本地策略” → “用户权限分配”。
• 确保“拒绝本地登录”策略中没有列出需要被拒绝本地登录的用户或用户组。

检查其他安全软件或防火墙：

• 检查是否安装了第三方安全软件，如防病毒软件、防火墙等，这些软件可能会阻止本地访问。
  确保这些安全软件的设置不会阻止本地登录，或者尝试临时禁用这些软件来测试本地登录功能。

  在检查这些设置时，您可以通过组策略编辑器来查看和修改“拒绝本地登录”策略，并通过查看安全软件或防火墙的设置来确认是否有针对本地登录的阻止规则。如果发现任何不当的设置，您可以相应地进行修改以允许本地登录。

二、解决步骤

1. 检查用户帐户

登录到远程服务器，打开“Active Directory 用户和计算机”控制台，检查用户帐户设置。

确保用户没有被锁定：

Get-ADUser -Identity "username" | Select-Object LockedOut

如果帐户被锁定，可以解锁：

Unlock-ADAccount -Identity "username"

2. 检查组策略

打开“组策略管理”控制台，导航到以下路径：

计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配

检查“允许本地登录”和“拒绝本地登录”策略：

Get-LocalGroupMember -Group "Administrators"

确保您的用户帐户或组被允许本地登录。

3. 检查密码策略

检查密码复杂度和历史策略：

Get-ADDefaultDomainPasswordPolicy

如果用户需要更改密码，确保遵循这些策略。

4. 检查Windows安全设置

确保没有启用“拒绝本地登录”策略：

Get-LocalGroup | Where-Object { $_.Name -eq "Guests" }

确保没有其他安全软件阻止本地访问，检查防火墙设置。

三、具体代码示例

  下面是一些常用的PowerShell命令，您可以在远程会话中执行：

# 检查用户帐户状态
$user = Get-ADUser -Identity "username" -Properties LockedOut
if ($user.LockedOut) {Write-Host "用户已被锁定，正在解锁..."Unlock-ADAccount -Identity "username"
} else {Write-Host "用户未被锁定。"
}# 检查组策略设置
$localPolicies = Get-LocalGroup | Where-Object { $_.Name -eq "Administrators" }
$localPolicies | Format-Table# 查看密码策略
$passwordPolicy = Get-ADDefaultDomainPasswordPolicy
Write-Host "密码最小长度: $($passwordPolicy.MinPasswordLength)"
Write-Host "密码复杂性要求: $($passwordPolicy.ComplexityEnabled)"# 检查拒绝本地登录策略
$denyLocalLogon = Get-LocalGroupMember -Group "Guests"
$denyLocalLogon | Format-Table

总结

  本地登录失败的原因可能是多方面的，特别是在Active Directory环境中。通过上述步骤，您可以逐步排查用户帐户、组策略、密码策略和Windows安全设置。使用PowerShell命令可以帮助您快速获得所需的信息并进行相应的调整。

  如果以上方法仍然无法解决问题，建议检查系统日志，特别是安全事件日志，以获取更多线索。在“事件查看器”中，导航到“Windows 日志” → “安全”查看是否有相关的错误或警告信息。

参考资料

  Microsoft官方文档
  Windows Server 2016管理指南
  Active Directory管理和配置手册

---

  码文不易，本篇文章就介绍到这里，如果想要学习更多Java系列知识，点击关注博主，博主带你零基础学习Java知识。与此同时，对于日常生活有困扰的朋友，欢迎阅读我的第四栏目：《国学周更—心性养成之路》，学习技术的同时，我们也注重了心性的养成。