\Policies\下的 GPTINI文件提高General小节下的Version关键字的值通常是加这是我们修改的这个组策略对象的版本号版本号提高后可以保证我们的更改被复制到其它DC上修改完毕将文件保存回原位置域策略刷新后问题即告解决
本地登录DC重新设置域策略中的相关项目
被本地安全策略拒绝本地登录时的解决办法
由于在Windows中不支持对计算机本地策略的安全设置部分进行远程管理(详见组策略白皮书)而且本地安全策略的安全设置通常存放在一个二进制的安全数据库seceditsdb中这个安全数据库的结构我们无从知道因此象第一部分那样直接编辑seceditsdb文件的办法是无能为力了我们需要采用迂回进攻的策略曲线救国
具体操作如下
假设故障计算机的IP地址是在另一台计算机(WindowsX//XP均可)上使用Telnet 命令使用管理员账号连接到故障计算机(如果故障计算机的telnet服务没有启动可以通过网络使用服务MMC启动具体方法不在详述)
通过telnet在故障计算机上执行net share tmp$=d:\tmp命令将故障计算机上的d:\tmp隐藏共享为tmp$共享权限缺省是everyone完全控制(此时要特别注意网络安全)当然你也可以共享其它的目录
通过telnet在故障计算机上执行secedit /export /CFG d:\tmp\secinf命令将故障计算机的本地安全策略配置导入d:\tmp\secinf安全模板文件中这是一个文本文件
连接到故障计算机上的tmp$共享用记事本打开共享文件夹中的secinf文件找到文件中Privilege Rights小节下的SeDenyInteractiveLogonRight关键字它的值就是被拒绝本地登录的用户或组的SID将这些SID删除使SeDenyInteractiveLogonRight关键字的值为空或者是随便另设置一个无关的值文件修改完毕保存回原位置
通过telnet在故障计算机上执行secedit /configure /db c:\seceditsdb /CFG d:\tmp\secinf命令使用新的安全模板和安全数据库重新配置故障计算机的本地安全策略
通过telnet在故障计算机上执行secedit /refreshpolicy machine_policy /enforce命令强制在故障计算机上刷新策略设置问题即告解决
本地登录故障计算机后删除我们建立的Tmp$共享重新设置本地安全策略中的相关项目
secedit简介
seceditexeWindows自带的自动化安全配置任务命令行工具功能强大我们可以用它来分析系统的安全性配置系统安全性刷新安全性设置导出安全性设置和验证安全配置文件它的具体用法请使用secedit /?查看其帮助文件
补充说明
上面所说的两种方法都是以有权限用户(如管理员)没有被禁止从网络登录为前提的如果你的策略把从网络登录也禁止了让故障计算机成了真正的孤家寡人那问题解决起来要麻烦的多但同样不是一个解不开的死结具体的解决办法我会另具文说明在此不再细说
参考资料
参考资料微软KB数据库文章QQQ
参考资料微软msnews新闻组microsoftpublicwinsetupsecurity和general
参考资料Windows中文帮助
关于作者
朱其胜系统工程师在山东一家网络公司负责WinNT/系统集成网络安全与技术支持持有MCSE证书微软MVP