说明 关于各SID所表示的意义参见前面的表格SID前面的*要保留系统执行时才不会其后面的SID当作具体的用户/组的名字 如果域中不止一台DC为保证DC同步时刚才所做的修改最终生效(原理同授权恢复)需要 ()打开winnt\sysvol\sysvol\你的域名\Policies\刚刚所修改策略的 GUID\ GPTINI文件 ()找到文件中的[General]小节下的Version手动将其值增大通常是加这是我们修改的这个组策略对象的版本号版本号提高后可以保证我们的更改被复制到其它DC上 ()保存退出 重新启动DC域策略将被刷新 说明也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略这样就不必重启DC了但需要用到telnet细节参考前面telnet命令和接下来的内容 以域管理员身份在DC上正常登录到域重新设置安全域策略中的相关项目 二被本地安全策略所阻止 很多人都会想到利用MMC远程管理功能重设目标机的安全策略具体操作如下 开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机如果有权限的话你会发现你能找到并管理其它的策略设置但是就是没有安全策略等项目出现在列表中 这是由于在Windows中不支持对计算机本地策略的安全设置部分进行远程管理而且本地安全策略设置的实现也与域策略不同它存放在一个二进制的安全数据库seceditsdb 那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上利用前面我们介绍过secedit命令导出安全设置到安全模板即扩展名为inf的文本文件中利用记事本编辑后再利用secedit命令将修改后的安全设置配置给计算机这样也就大功告功了但如果故障计算机上的telnet服务没有启动那么我们应该首先把故障计算机上telnet服务启动起来才能连过去 说明因为telnet服务的启动类型默认为手动所以正常情况下它是不会启动的此时连过去的出错信息为正在连接以xxx不能打开到主机的连接在端口连接失败 综上所述具体解决办法如下 在另一台联网的计算机(/XP/均可)上修改其管理员密码使用户名和口令均与故障计算机上的相同(这主要为了方便若在连接或使用的时候输入目标计算机上的用户名和口令也可以) 注销后重新登录进来 我的电脑/右键/管理打开计算机管理 在计算机管理上/右键/连接到另一台计算机故障计算机IP 在服务下找到telnet手动将它启动起来 接下来使用telnet连接过来 开始/运行cmd键入telnet 目标IP 在C:\>提示符下键入secedit /export /cfg c:\sectmpinf导出它的当前安全设置 点击开始/运行\\目标IP\C$双击c:\sectmpinf用记事本打开 编辑sectmpinf文件具体同前面情况一的步骤 回到步骤的命令窗口键入secedit /configure /db c:\sectmpsdb /CFG c:\sectmpinf将修改后的设置值配置给计算机 [] [] [] [] [] [] [] |