本地策略不允许交互登陆的解决技巧.docVIP

本地策略不允许交互登陆的解决方法。 有时候我们不小心在Windows 2003域控制器上禁止了某一个用户或管理员的本地登录权限，这会给我们的工作带来很大的麻烦，下面我们来测试一下本地策略不允许交互登陆的解决方法。?????好，我们先来禁用everyone登录，如下图所示，可以在对象中加入users组，因为所有用户默认都属于users组，权限规则又是严格权限优先，所以现在我们只要注销，就谁都登不进来咯 ???????? 下图是应用策略后，administrator都进不去系统 ????????那么怎么解决这个问题捏，我们这样来考虑。出现这样的状况一般是由于管理员的误操作导致的，因为普通用户是没有权限更改组策略的。既然这样，那按理说管理员是知道自己的帐户的密码的，知道这个就好办啦，我们只要telnet到这个计算机，然后修改它的策略就OK啦。那如何修改目标计算机的策略呢？?先来补充一个知识点：命令行下的组策略 secedit组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。secedit命令语法：secedit /analyzesecedit /configuresecedit /export secedit /validatesecedit /refreshpolicy 5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略?看到这里我想大家应该知道该做什么了吧，对，就是用它来修改被锁住的计算机策略。大体的过程是这样：1?? telnet到远程计算机2?? 导出组策略配置3?? 修改组策略配置4?? 应用新的组策略配置?先找一台同子网的计算机 ，用管理工具来连接远程计算机的管理工具 启动远程计算机的telnet服务 然后，telnet到远程计算机，建议把当前计算机管理员密码改成目标计算机一致，这样既可以免去验证过程，不然会出现如下错误： 第一步已经完成，我们成功登录到了远程计算机，下一步就是导出组策略的配置，但之前要先创建一个共享文件夹来存放导出的配置文件哦 然后，进入test文件夹，输入secedit? /export 就可以看到到处配置文件的示例啦 ?按照示例，我们输入 secedit? /export? /cfg? secedit.inf 就可以导出数据库模板文件了系统默认的安全数据库位于%windir%\security\database\secedit.sdb，这里没有用/db参数指定数据库就是采用默认的。 接下来就可以在test文件夹中看到sec.inf文件了。不过Windows2003 的默认共享是everyone只读哦，所以我们还要用管理工具连接到远程计算机修改它的共享权限，我给了这台远程计算机的管理员一个更改权限 这样我们就可以通过共享文件夹来修改sec.inf文件了。在sec.inf文件中找到“SeDenyInteractiveLogonRight”字段，删掉右侧的users组的SID就可以啦 保存后，在telnet会话中输入? secedit? /configure? /db sec.sdb? /cfg sec.inf这条命令的作用是应用新的策略模板，其中/db生成的只是一个临时文件，可以删掉 之后再来试试看登录我们被锁住的计算机，怎么样，锁定解除了吧。 6 / 6