拦不住我的本地组策略
2008-08-14 14:25
183 查看
[align=left]下面研究的是在Windows 2003中 在禁止everyone本地登录后,有关的解决方案。[/align] 首先禁用everyone登录,如下图所示,可以在对象中加入users组,因为所有用户默认都属于users组,权限规则又是严格权限优先,所以现在只要注销,任何机子都登不进去. 下图是应用策略后,administrator都进不去系统 出现这样的状况一般是由于管理员的误操作导致的,因为普通用户是没有权限更改组策略的。既然这样,那按理说管理员是知道自己的帐户的密码的,那现在我们只要telnet到这个计算机,然后修改它的策略就行了。 先来补充一个知识点:命令行下的组策略 secedit 组策略是建立Windows安全环境的重要手段,尤其是在Windows域环境下。一个出色的系统管理员,应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc,命令行下用secedit.exe。 secedit命令语法: secedit /analyze secedit /configure secedit /export secedit /validate secedit /refreshpolicy 5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。 与访问注册表只需reg文件不同的是,访问组策略除了要有个模板文件(还是inf),还需要一个安全数据库文件(sdb)。要修改组策略,必须先将模板导入安全数据库,再通过应用安全数据库来刷新组策略 [align=left] [/align] 看了这些大家都应该知道怎么做什么了吧,就是用上面的命令来修改被锁住的计算机策略。 基本步骤如下: 1 telnet到远程计算机 2 导出组策略配置 3 修改组策略配置 4 应用新的组策略配置 先找一台同子网的计算机 ,用管理工具来连接远程计算机的管理工具 启动远程计算机的telnet服务(远程登录) 然后,telnet到远程计算机, 第一步已经完成,成功登录到了远程计算机,下一步就是导出组策略的配置,但之前首要先创建一个共享文件夹来存放导出的配置文件 然后,进入test文件夹,输入secedit /export 就可以看到到处配置文件的示例啦 [align=center] [/align] 按照示例,我们输入 secedit /export /cfg secedit.inf 就可以导出数据库模板文件了 系统默认的安全数据库位于%windir%\security\database\secedit.sdb,这里没有用/db参数指定数据库就是采用默认的。 接下来就可以在test文件夹中看到sec.inf文件了。不过Windows2003 的默认共享是everyone只读哦,所以我们还要用管理工具连接到远程计算机修改它的共享权限,给这台远程计算机的管理员有一个更改权限 这样我们就可以通过共享文件夹来修改sec.inf文件了。在sec.inf文件中找到 “SeDenyInteractiveLogonRight”字段,删掉右侧的users组的SID就可以啦 保存后,在telnet会话中输入 secedit /configure /db sec.sdb /cfg sec.inf |
!
相关文章推荐
- 拦不住我的本地组策略
- 拦不住我的本地组策略
- 记一下吧,又记不住啦。pipe
- 科技巨头all in AI,这几位中国实业大佬也“坐不住”了
- ios的一些小操作,以防平时记不住
- 年度最扎心:钱多的工作你熬不住,钱少的工作你看不起
- 你为什么坚持不住
- 沉不住气的男人
- 小小的心承受不住的小激动
- 没有记不住的单词-SuperMemo (序)
- 一池江水半江灯。繁星点点落江城,严霜寒雪封不住,若明若暗水火情
- 子查询,从数据库中第三条 后的数据开始读取,(超简单)怕有时候记不住。呵呵!
- 拦不住我的本地组策略 推荐
- 站不住 (转载自三七的玻璃屋顶)
- 公司有台SQL 的sa密码记不住了!又不能修改,怎么办?
- 老字号上网,是因为耐不住寂寞吗?
- 老字号上网,是因为耐不住寂寞吗?
- 【标记】学了四年的物理模型 晕死地还是记不住
- 郁闷,总是记不住
- 几个记不住的点