¨默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9 。
可以利用C盘的隐含共享C$,或winntsysvolsysvol的共享sysvol连过去,直接编辑,具体操作如下:
1、在另一台联网的计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC 。
2、利用记事本打开GptTmpl.inf文件 。
3、找到文件中[Privilege Rights]小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字,进行编辑即可 。如:
¨使SeDenyInteractiveLogonRight所等于的值为空 。
¨保证SeInteractiveLogonRight= *S-1-5-32-544,……
4、保存退出 。
说明:
1、关于各SID所表示的意义,参见前面的表格 。SID前面的*要保留,系统执行时才不会其后面的SID当作具体的用户/组的名字 。
2、如果域中不止一台DC,为保证DC同步时刚才所做的修改最终生效(原理同授权恢复),需要:
(1)打开winntsysvolsysvol你的域名Policies刚刚所修改策略的 GUID GPT.INI文件
(2)找到文件中的[General]小节下的“Version”,手动将其值增大,通常是加10000 。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上 。
(3)保存退出 。
5、重新启动DC,域策略将被刷新 。
说明:也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必重启DC了 。但需要用到telnet,细节参考前面telnet命令和接下来的内容 。
6、以域管理员身份在DC上正常登录到域,重新设置安全域策略中的相关项目 。
二、被本地安全策略所阻止
很多人都会想到利用MMC远程管理功能,重设目标机的安全策略 。具体操作如下:
开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机,如果有权限的话,你会发现你能找到并管理其它的策略设置,但是就是没有安全策略等项目出现在列表中 。
这是由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理 。而且本地安全策略设置的实现也与域策略不同,它存放在一个二进制的安全数据库secedit.sdb 。
那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上,利用前面我们介绍过secedit命令导出安全设置到安全模板,即扩展名为.inf的文本文件中 。利用记事本编辑后,再利用secedit命令将修改后的安全设置配置给计算机,这样也就大功告功了 。但如果故障计算机上的telnet服务没有启动,那么我们应该首先把故障计算机上telnet服务启动起来,才能连过去 。
说明:因为telnet服务的启动类型,默认为手动,所以正常情况下它是不会启动的 。此时连过去的出错信息为:正在连接以xxx不能打开到主机的连接,在端口23:连接失败 。
综上所述,具体解决办法如下:
1、在另一台联网的计算机(2000/XP/03均可)上,修改其管理员密码,使用户名和口令均与故障计算机上的相同 。(这主要为了方便,若在连接或使用的时候输入目标计算机上的用户名和口令,也可以)
2、注销后,重新登录进来 。
3、我的电脑/右键/管理,打开计算机管理 。
4、在计算机管理上/右键/连接到另一台计算机:故障计算机IP 。
5、在服务下找到telnet,手动将它启动起来 。
接下来使用telnet连接过来
6、开始/运行:cmd,键入telnet 目标IP
7、在C:>提示符下,键入secedit /export /cfg c:sectmp.inf,导出它的当前安全设置 。
8、点击开始/运行:目标IPC$,双击c:sectmp.inf,用记事本打开 。
9、编辑sectmp.inf文件,具体同前面情况一的步骤3
推荐阅读
- 如何备份和恢复Active Directory
- Microsoft Active Directory 常用文档速查指南
- 三 AD 活动目录域故障解决实例
- 一 AD 活动目录域故障解决实例
- 二 AD 活动目录域故障解决实例
- 一 Windows2003活动目录安装指南
- 二 Windows2003活动目录安装指南
- 二 域控制器发生故障时确保继续复制活动目录
- 一 域控制器发生故障时确保继续复制活动目录
- “让成长更美好”青少年食品安全与营养健康科普教育体验活动走进厦门肯德基