今天的課題研究的是在Windows 2003 在禁止everyone本地登錄後,我們的解決方案。閒話不多說,實驗馬上開始。
先來禁用everyone登錄,如下圖所示,可以在對象中加入users組,因爲所有用戶默認都屬於users組,權限規則又是嚴格權限優先,所以現在我們只要註銷,就誰都登不進來嘍
下圖是應用策略後,administrator都進不去系統
那麼怎麼解決這個問題捏,我們這樣來考慮。出現這樣的狀況一般是由於管理員的誤操作導致的,因爲普通用戶是沒有權限更改組策略的。既然這樣,那按理說管理員是知道自己的帳戶的密碼的,知道這個就好辦啦,我們只要telnet到這個計算機,然後修改它的策略就OK啦。那如何修改目標計算機的策略呢,這就是我們今天的重點啦。
先來補充一個知識點:命令行下的組策略 secedit
組策略是建立Windows安全環境的重要手段,尤其是在Windows域環境下。一個出色的系統管理員,應該能熟練地掌握並應用組策略。在窗口界面下訪問組策略用gpedit.msc,命令行下用secedit.exe。
secedit命令語法:
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5個命令的功能分別是分析組策略、配置組策略、導出組策略、驗證模板語法和更新組策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。這些命令具體的語法自己在命令行下查看就知道了。
與訪問註冊表只需reg文件不同的是,訪問組策略除了要有個模板文件(還是inf),還需要一個安全數據庫文件(sdb)。要修改組策略,必須先將模板導入安全數據庫,再通過應用安全數據庫來刷新組策略
看到這裏我想大家應該知道該做什麼了吧,對,就是用它來修改被鎖住的計算機策略。
大體的過程是這樣:
1 telnet到遠程計算機
2 導出組策略配置
3 修改組策略配置
4 應用新的組策略配置
先找一臺同子網的計算機 ,用管理工具來連接遠程計算機的管理工具
啓動遠程計算機的telnet服務
然後,telnet到遠程計算機,建議把當前計算機管理員密碼改成目標計算機一致,這樣既可以免去驗證過程,不然會出現如下錯誤:
第一步已經完成,我們成功登錄到了遠程計算機,下一步就是導出組策略的配置,但之前要先創建一個共享文件夾來存放導出的配置文件哦
然後,進入test文件夾,輸入secedit /export 就可以看到到處配置文件的示例啦
按照示例,我們輸入 secedit /export /cfg secedit.inf 就可以導出數據庫模板文件了
系統默認的安全數據庫位於%windir%\security\database\secedit.sdb,這裏沒有用/db參數指定數據庫就是採用默認的。
接下來就可以在test文件夾中看到sec.inf文件了。不過Windows2003 的默認共享是everyone只讀哦,所以我們還要用管理工具連接到遠程計算機修改它的共享權限,我給了這臺遠程計算機的管理員一個更改權限
這樣我們就可以通過共享文件夾來修改sec.inf文件了。在sec.inf文件中找到
“SeDenyInteractiveLogonRight”字段,刪掉右側的users組的SID就可以啦
保存後,在telnet會話中輸入 secedit /configure /db sec.sdb /cfg sec.inf
這條命令的作用是應用新的策略模板,其中/db生成的只是一個臨時文件,可以刪掉
之後再來試試看登錄我們被鎖住的計算機,怎麼樣,鎖定解除了吧。