什么叫交互式登入？

什么叫交互式登入？

NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议，用户通过提供登陆信息（如用户名和密码）,服务器将这些信息发送到服务器上的验证机构，验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的，不可传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权限。而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的，他是由每域的RID主机（相对关系主机）来分配的。SID在每个域中是独一无二的，但在其他域中也可能出现同样的SID，但是由于域ID的不同，所以二者的GUID就不可能相同。但这必须建立在Kerberos协议的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A；A信任B，B信任C，A信任C。当然也可手工调整，一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE（Access control entry)是具体的访问类型（如read,write等等).

说了这么多，我再谈一谈针对win2000域环境下本地交互登陆的机制，众所周知，win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器，GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求，就会将其转发到LSA（本地权威机构），而在WIN2000下由于Kerberos是默认的验证机制，所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后，便会出现错误信息，因为kerberos是用来验证域用户账号而非本地账号，此时LSA收到错误信息，会将其转发到GINA，GINA在将指定了MSV1_0协议的LSA来验证身份，如果通过则完成本地交互式登陆。

交互式就是不能用键盘本机登录啦,必须从网络登录,可以去组策略修改

如果可以用其他方法访问硬盘上的文件（比如将硬盘挂在其他人的机器上），那么将windows\repair下的security复制到windows\system32\config下覆盖同名文件就可以了。 强调：不是sam文件，是security，它存储着系统的安全配置。（因为你知道密码，所有不是密码数据库sam的问题） 补充：如果您是在一个域中，那么可能是域管理员在域控制器中错误地更改了一些安全设置所致，可以联系您的管理员。