10、回到步骤7的命令窗口,键入secedit /configure /db c:sectmp.sdb /CFG c:sectmp.inf将修改后的设置值,配置给计算机 。
11、运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必故障计算机了 。
12、以本地管理员身份在故障计算机上正常登录到域,重新设置安全域策略中的相关项目 。
最后说明一下:对于XP/03不存在上述问题,微软已经修正了这个问题 。用户不能阻止所有人或管理员登录,在图形界面下根本设不上;使用其它手段强行设上了也不起作用 。因此大家可以想一想,针对上面第一种情况,实际上可以加一台XP/03到2000域,在XP/03上登录到域,将其解开 。
本例的实际排错意义并不大,但建议大家最好还是能把这个实验做一下,因为它涉及到了很多知识点,如:基于域安全策略、本地安全策略的实施原理,组策略及其优先级,权利、SID,还有同名同口令帐户登录、telnet、secedit工具的使用等等 。再有大家也可以做一下实验,既然我们能通过网络解开,同样也能通过网络设上 。
Q7、Win2000/03域中默认策略被误删,如何恢复?
对于Win2000,微软在“下载中心”提供了Windows 2000默认策略还原工具的下载 。微软开发这一工具旨在帮助用户在意外删除默认策略时,能够重新还原“默认缺省域的组策略”和“默认域控制器的组策略”文件 。请到下列地址下载相应工具:
http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en
对于Win03,微软提醒用户不要将其应用于Windows Server 2003上 。Win03自带的Dcgpofix.exe就可以完成还原任务 。
需要强调的是:作为管理员应及时将组策略的设置进行备份 。可利用2000/03自带的备份工具,把组策略作为系统状态的一部分进行备份 。也可以利用GPMC工具专门备份组策略的设置 。这样即使出问题了,重新恢复,也不用再把组策略重新设置了 。
Q8、作为管理员,我通过组策略设置了一些限制,如“不要运行指定的windows应用程序”,但总有个别用户在网上能找到破解的办法,我该怎么办?
这段话使我想起了关于网络安全一条名言:没有绝对的安全 。我个人也觉得在计算机网络世界里,永远是高手在蒙低手 。若水平都很高,那么最终的安全又回到了物理安全设置上(术语叫:社会工程) 。下面以“不要运行指定的windows应用程序”这条组策略设置的攻防转换,来阐明这个问题
第一回合:
管理员:通过本地策略限制某用户运行某些用户程序,如QQ、反恐、realplay等 。操作:开始/运行,键入gpedit.msc,用户配置/管理模板/系统/不要运行指定的windows应用程序,启用/显示/添加:上述应用的.exe文件名即可 。
用 户:用户如果知道管理员怎么设置的限制,同样的办法取消限制即可 。
第二回合:
管理员:将mmc.exe也加入到上述禁止运行列表中,使用户无法打开任何MMC管理控制台 。
用 户:开始/运行:cmd,键入mmc,将会打开控制台下,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,取消限制 。
说明:用户在CMD方式下,直接键入gpedit.msc仍不能运行 。此解法的知识点来自这条策略的说明标签 。
第三回合:
管理员:将cmd.exe也禁止运行
用 户:重新启动计算机,按F8,选择带命令行的安全模式 。登录进来后,在CMD方式下,键入mmc,将会打开控制台下,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,取消限制 。
第四回合:
管理员:一看不行了,还是借助于基于域的组策略吧 。将用户计算机加入到域,不给用户本地管理员的口令,要求用户使用一个域用户帐号(为不影响用户的其它正常应用,可将其加入到客户机的Power Uers组),并将此域用户帐号放到一个OU中,链接组策略,设置上述限制 。
推荐阅读
- 如何备份和恢复Active Directory
- Microsoft Active Directory 常用文档速查指南
- 三 AD 活动目录域故障解决实例
- 一 AD 活动目录域故障解决实例
- 二 AD 活动目录域故障解决实例
- 一 Windows2003活动目录安装指南
- 二 Windows2003活动目录安装指南
- 二 域控制器发生故障时确保继续复制活动目录
- 一 域控制器发生故障时确保继续复制活动目录
- “让成长更美好”青少年食品安全与营养健康科普教育体验活动走进厦门肯德基