攔不住個人本地組策略

今天的課題研究的是在Windows 2003 在禁止everyone本地登陸後，咱們的解決方案。閒話很少說，實驗立刻開始。

 

先來禁用everyone登陸，以下圖所示，能夠在對象中加入users組，由於全部用戶默認都屬於users組，權限規則又是嚴格權限優先，因此如今咱們只要註銷，就誰都登不進來嘍

下圖是應用策略後，administrator都進不去系統

那麼怎麼解決這個問題捏，咱們這樣來考慮。出現這樣的情況通常是因爲管理員的誤操做致使的，由於普通用戶是沒有權限更改組策略的。既然這樣，那按理說管理員是知道本身的賬戶的密碼的，知道這個就好辦啦，咱們只要 telnet 到這個計算機，而後修改它的策略就 OK 啦。那如何修改目標計算機的策略呢，這就是咱們今天的重點啦。

 

先來補充一個知識點：命令行下的組策略 secedit

組策略是創建 Windows 安全環境的重要手段，尤爲是在 Windows 域環境下。一個出色的系統管理員，應該能熟練地掌握並應用組策略。在窗口界面下訪問組策略用 gpedit.msc ，命令行下用 secedit.exe 。

secedit 命令語法：

secedit /analyze

secedit /configure

secedit /export

secedit /validate

secedit /refreshpolicy

5 個命令的功能分別是分析組策略、配置組策略、導出組策略、驗證模板語法和更新組策略。其中 secedit /refreshpolicy 在 XP/2003 下被 gpupdate 代替 。這些命令具體的語法本身在命令行下查看就知道了。

與訪問註冊表只需 reg 文件不一樣的是，訪問組策略除了要有個模板文件 ( 仍是 inf) ，還須要一個安全數據庫文件 (sdb) 。要修改組策略，必須先將模板導入安全數據庫，再經過應用安全數據庫來刷新組策略

 

看到這裏我想你們應該知道該作什麼了吧，對，就是用它來修改被鎖住的計算機策略。

大致的過程是這樣：

1   telnet 到遠程計算機

2    導出組策略配置

3    修改組策略配置

4    應用新的組策略配置

 

先找一臺同子網的計算機 ，用管理工具來鏈接遠程計算機的管理工具

啓動遠程計算機的 telnet 服務

而後， telnet 到遠程計算機，建議把當前計算機管理員密碼改爲目標計算機一致，這樣既能夠免去驗證過程，否則會出現以下錯誤：

第一步已經完成，咱們成功登陸到了遠程計算機，下一步就是導出組策略的配置，但以前要先建立一個共享文件夾來存放導出的配置文件哦

而後，進入 test 文件夾，輸入 secedit  /export 就能夠看到處處配置文件的示例啦

 

按照示例，咱們輸入 secedit  /export  /cfg  secedit.inf 就能夠導出數據庫模板文件了

系統默認的安全數據庫位於 %windir%\security\database\secedit.sdb ，這裏沒有用 /db 參數指定數據庫就是採用默認的。

接下來就能夠在 test 文件夾中看到 sec.inf 文件了。不過 Windows2003 的默認共享是 everyone 只讀哦 ，因此咱們還要用管理工具鏈接到遠程計算機修改它的共享權限，我給了這臺遠程計算機的管理員一個更改權限

這樣咱們就能夠經過共享文件夾來修改 sec.inf 文件了。在 sec.inf 文件中找到

「 SeDenyInteractiveLogonRight 」字段，刪掉右側的 users 組的 SID 就能夠啦

保存後，在 telnet 會話中輸入   secedit  /configure  /db sec.sdb  /cfg sec.inf

這條命令的做用是應用新的策略模板，其中 /db 生成的只是一個臨時文件，能夠刪掉

以後再來試試看登陸咱們被鎖住的計算機，怎麼樣，鎖定解除了吧。