拦不住个人本地组策略

今天的课题研究的是在Windows 2003 在禁止everyone本地登陆后，咱们的解决方案。闲话很少说，实验立刻开始。

 

先来禁用everyone登陆，以下图所示，能够在对象中加入users组，由于全部用户默认都属于users组，权限规则又是严格权限优先，因此如今咱们只要注销，就谁都登不进来喽

下图是应用策略后，administrator都进不去系统

那么怎么解决这个问题捏，咱们这样来考虑。出现这样的情况通常是因为管理员的误操做致使的，由于普通用户是没有权限更改组策略的。既然这样，那按理说管理员是知道本身的账户的密码的，知道这个就好办啦，咱们只要 telnet 到这个计算机，而后修改它的策略就 OK 啦。那如何修改目标计算机的策略呢，这就是咱们今天的重点啦。

 

先来补充一个知识点：命令行下的组策略 secedit

组策略是创建 Windows 安全环境的重要手段，尤为是在 Windows 域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用 gpedit.msc ，命令行下用 secedit.exe 。

secedit 命令语法：

secedit /analyze

secedit /configure

secedit /export

secedit /validate

secedit /refreshpolicy

5 个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中 secedit /refreshpolicy 在 XP/2003 下被 gpupdate 代替 。这些命令具体的语法本身在命令行下查看就知道了。

与访问注册表只需 reg 文件不一样的是，访问组策略除了要有个模板文件 ( 仍是 inf) ，还须要一个安全数据库文件 (sdb) 。要修改组策略，必须先将模板导入安全数据库，再经过应用安全数据库来刷新组策略

 

看到这里我想你们应该知道该作什么了吧，对，就是用它来修改被锁住的计算机策略。

大致的过程是这样：

1   telnet 到远程计算机

2    导出组策略配置

3    修改组策略配置

4    应用新的组策略配置

 

先找一台同子网的计算机 ，用管理工具来链接远程计算机的管理工具

启动远程计算机的 telnet 服务

而后， telnet 到远程计算机，建议把当前计算机管理员密码改为目标计算机一致，这样既能够免去验证过程，否则会出现以下错误：

第一步已经完成，咱们成功登陆到了远程计算机，下一步就是导出组策略的配置，但以前要先建立一个共享文件夹来存放导出的配置文件哦

而后，进入 test 文件夹，输入 secedit  /export 就能够看到处处配置文件的示例啦

 

按照示例，咱们输入 secedit  /export  /cfg  secedit.inf 就能够导出数据库模板文件了

系统默认的安全数据库位于 %windir%\security\database\secedit.sdb ，这里没有用 /db 参数指定数据库就是采用默认的。

接下来就能够在 test 文件夹中看到 sec.inf 文件了。不过 Windows2003 的默认共享是 everyone 只读哦 ，因此咱们还要用管理工具链接到远程计算机修改它的共享权限，我给了这台远程计算机的管理员一个更改权限

这样咱们就能够经过共享文件夹来修改 sec.inf 文件了。在 sec.inf 文件中找到

“ SeDenyInteractiveLogonRight ”字段，删掉右侧的 users 组的 SID 就能够啦

保存后，在 telnet 会话中输入   secedit  /configure  /db sec.sdb  /cfg sec.inf

这条命令的做用是应用新的策略模板，其中 /db 生成的只是一个临时文件，能够删掉

以后再来试试看登陆咱们被锁住的计算机，怎么样，锁定解除了吧。