您的位置：首页 > 其它

拦不住我的本地组策略

2008-08-14 14:25 183 查看

[align=left]下面研究的是在Windows 2003中在禁止everyone本地登录后，有关的解决方案。[/align]

首先禁用everyone登录，如下图所示，可以在对象中加入users组，因为所有用户默认都属于users组，权限规则又是严格权限优先，所以现在只要注销，任何机子都登不进去.

下图是应用策略后，administrator都进不去系统

出现这样的状况一般是由于管理员的误操作导致的，因为普通用户是没有权限更改组策略的。既然这样，那按理说管理员是知道自己的帐户的密码的，那现在我们只要telnet到这个计算机，然后修改它的策略就行了。
先来补充一个知识点：命令行下的组策略 secedit
组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。
secedit命令语法：
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。
与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略
[align=left] [/align]
看了这些大家都应该知道怎么做什么了吧，就是用上面的命令来修改被锁住的计算机策略。
基本步骤如下:
1 telnet到远程计算机
2 导出组策略配置
3 修改组策略配置
4 应用新的组策略配置

先找一台同子网的计算机，用管理工具来连接远程计算机的管理工具

启动远程计算机的telnet服务(远程登录)

然后，telnet到远程计算机，

第一步已经完成，成功登录到了远程计算机，下一步就是导出组策略的配置，但之前首要先创建一个共享文件夹来存放导出的配置文件

然后，进入test文件夹，输入secedit /export 就可以看到到处配置文件的示例啦

[align=center] [/align]
按照示例，我们输入 secedit /export /cfg secedit.inf 就可以导出数据库模板文件了
系统默认的安全数据库位于%windir%\security\database\secedit.sdb，这里没有用/db参数指定数据库就是采用默认的。

接下来就可以在test文件夹中看到sec.inf文件了。不过Windows2003 的默认共享是everyone只读哦，所以我们还要用管理工具连接到远程计算机修改它的共享权限，给这台远程计算机的管理员有一个更改权限

这样我们就可以通过共享文件夹来修改sec.inf文件了。在sec.inf文件中找到
“SeDenyInteractiveLogonRight”字段，删掉右侧的users组的SID就可以啦

保存后，在telnet会话中输入 secedit /configure /db sec.sdb /cfg sec.inf

[align=center] [/align]

！

内容来自用户分享和网络整理，不保证内容的准确性，如有侵权内容，可联系管理员处理

标签：

相关文章推荐

新的分享

章节导航