拦不住我的本地组策略

版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://struggle.blog.51cto.com/333093/91862

今天的课题研究的是在Windows 2003 在禁止everyone本地登录后，我们的解决方案。闲话不多说，实验马上开始。

 

先来禁用everyone登录，如下图所示，可以在对象中加入users组，因为所有用户默认都属于users组，权限规则又是严格权限优先，所以现在我们只要注销，就谁都登不进来喽

下图是应用策略后，administrator都进不去系统

那么怎么解决这个问题捏，我们这样来考虑。出现这样的状况一般是由于管理员的误操作导致的，因为普通用户是没有权限更改组策略的。既然这样，那按理说管理员是知道自己的帐户的密码的，知道这个就好办啦，我们只要telnet到这个计算机，然后修改它的策略就OK啦。那如何修改目标计算机的策略呢，这就是我们今天的重点啦。

 

先来补充一个知识点：命令行下的组策略 secedit

组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。

secedit命令语法：

secedit /analyze

secedit /configure

secedit /export

secedit /validate

secedit /refreshpolicy

5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。

与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略

 

看到这里我想大家应该知道该做什么了吧，对，就是用它来修改被锁住的计算机策略。

大体的过程是这样：

1   telnet到远程计算机

2   导出组策略配置

3   修改组策略配置

4   应用新的组策略配置

 

先找一台同子网的计算机 ，用管理工具来连接远程计算机的管理工具

启动远程计算机的telnet服务

然后，telnet到远程计算机，建议把当前计算机管理员密码改成目标计算机一致，这样既可以免去验证过程，不然会出现如下错误：

第一步已经完成，我们成功登录到了远程计算机，下一步就是导出组策略的配置，但之前要先创建一个共享文件夹来存放导出的配置文件哦

然后，进入test文件夹，输入secedit  /export 就可以看到到处配置文件的示例啦

 

按照示例，我们输入 secedit  /export  /cfg  secedit.inf 就可以导出数据库模板文件了

系统默认的安全数据库位于%windir%/security/database/secedit.sdb，这里没有用/db参数指定数据库就是采用默认的。

接下来就可以在test文件夹中看到sec.inf文件了。不过Windows2003 的默认共享是everyone只读哦，所以我们还要用管理工具连接到远程计算机修改它的共享权限，我给了这台远程计算机的管理员一个更改权限

这样我们就可以通过共享文件夹来修改sec.inf文件了。在sec.inf文件中找到

“SeDenyInteractiveLogonRight”字段，删掉右侧的users组的SID就可以啦

保存后，在telnet会话中输入  secedit  /configure  /db sec.sdb  /cfg sec.inf

这条命令的作用是应用新的策略模板，其中/db生成的只是一个临时文件，可以删掉

之后再来试试看登录我们被锁住的计算机，怎么样，锁定解除了吧。

 

 

参考资料：

 

http://struggle.blog.51cto.com/333093/91862