关于组策略应用的实例那真是三天三夜也说不完因为总共有+多条策略在此仅举几例来说明问题有的比较简单有的稍微复杂一些我们会展开来讨论一下需要强调的是作为管理员平时要多看看组策略中具体都有哪些设置当然谁也不可能逐条去实践去测试但要大概有个印象当有某种需求时你才会想起某条组策略设置来根据印象找到那条策略先看说明标签再具体实践逐步积累 前面我们讲过安全策略是组策略的子集(一部分)我们会首先讨论和安全策略相关的实例然后才是其它的策略 Q普通域用户无法在DC上登录? 为了保护域控制器默认能在DC上登录的用户只有AdministratorsAccount operatorsBackup operatorsServer operatorsPrint operators这些特定的管理组要想使普通域用户有权在DC上登录可以将其加入到这些组中 但更多时候我们不想让用户有过多的权利权限也可以在开始/程序/管理工具/域控制器的安全策略/本地策略/用户权利分配/允许在本地登录下通过添加指派其在DC上登录的权利即可 Q在域中添加用户时总是提示我不符合密码策略怎么办? 对于默认域的安全策略与域不同要求域用户的口令必须符合复杂性要求且密码最小长度为口令的复杂性包括三条一是大写字母小写字母数字符号四种中必须有种二是密码最小长度为三是口令中不得包括全部或部分用户名 我们可以设置复杂一些的密码也可以重新设默认域的安全策略来解决操作如下 开始/程序/管理工具/域安全策略/帐户策略/密码策略 密码必须符合复杂性要求由已启用改为已禁用 密码长度最小值由个字符改为个字符 欲策略设置马上生效可利用gpupdate进行刷新(具体见前) 如果添加的是本地用户解决办法与此相同只不过修改的是本地安全策略 Q在/域中前网管设置了一个开机登陆时的提示页面已过时现想取消如何操作? 登录到本机时出现则在管理工具/本地安全策略或开始/运行gpeditmsc中配置若是登录到域时出现则在管理工具/域的安全策略或AD用户和计算机/属性/组策略中配置具体会涉及到安全设置/本地策略/安全选项下的这两条 交互式登录用户试图登录时消息标题 交互式登录用户试图登录时消息文字 Q如何设置不让用户修改计算机的配置(如TCP/IP等)? 可以利用本地策略或基于域的组策略锁定具体操作 本地开始/运行gpeditmsc或 域开始/程序/管理工具/AD用户和计算机/域名上/右键/属性/组策略/默认域的组策略 在用户配置/管理模板/网络/网络及拨号连接禁止访问LAN连接的属性 说明 若利用本地策略实现本地管理员可以重新设置策略解开 若利用域策略实现只是域用户受此限制本地管理员不受此限制 所以应该不给用户本地管理员口令让用户以非本地管理员/域用户身份登录为了保证用户能安装软件或做其它管理工作可将其加入本地的Power Users组 Q非管理员用户无法登录到终端服务器? 欲使用户能利用终端服务客户端软件或远程桌面登录到/ Server对于S需要在服务器上安装终端服务对于S只需在即可对于管理员默认即可通过TS登录进来 非管理员用户通过终端服务无法登录除了网络连接方面的问题以外主要有以下五个方面的原因 终端服务器同时是DC而普通用户无权在DC上登录 解决办法具体见前 安全策略/本地策略/用户权利分配通过终端服务允许登录 这是特有的没有这条安全策略解决办法 方法一在我的电脑/右键/属性/远程/远程桌面下选中允许用户远程连接到这台计算机选项后单击选择远程用户/添加用户将被自动加入到Remote Desktop Users组而这个组默认有通过终端服务允许登录的权利 方法二手动将用户加入到Remote Desktop Users组 方法三手动直接指派用户通过终端服务允许登录的权利 注意如果终端服务器同时是DC必须使用方法三原因是为了保护DCDC上的本地安全策略里只允许Administratrs组有此权利而将Remote Desktop Users组删掉了 开始/程序/管理工具/终端服务配置/RDPTcp/右键/属性/权限 解决办法手动将用户加入到Remote Desktop Users组或确保用户在此权限下有来宾访问或用户访问的权限 用户所用帐号口令为空 若终端服务器为用户使用此服务器上的本地帐号且口令为空通过TS登录由于本地安全策略/本地策略/安全选项/帐户使用空白密码的本地帐户只允许进行控制台登录默认启用这将会阻止用户登录解决办法使用非空密码或禁用此策略 顺便提一下这也是常见的通过网络访问XP/上的共享资源不通的原因之一 所用帐号属性/终端服务配置文件/允许登录到终端服务器选项 这个选项默认就是选中的除非有人动过解决办法手动选中即可 Q在(也仅是)中由于禁止本地登录权利而导致的所有用户管理员无法登录 在安全策略/本地策略/用户权利分配下有两条策略 拒绝本地登录默认为未定义 允许在本地登录其默认值分别为 本地计算机策略AdministratorsBackup OperatorsPower UsersUsers 默认域的策略未定义 默认域控制器的策略AdministratorsAccount OperatorsBackup OperatorsServer OperatorsPrint OperatorsIUSR_dcname 说明如果在同一级别上对同一对象(用户或组)同时设置了允许和拒绝拒绝权利的优先级别高也就是说二者沖突时拒绝权利生效 假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员又或者在允许登录上把管理员给删掉了不论哪一种情况都会导致管理员无法登录出错提示为此系统的本地策略不允许您采用交互式登录也就没办法将策略设置改回正常了 这种情形看起来像一个解不开的死结要解除禁止本地登录的组策略设置必须以管理员身份本地登录要以管理员身份本地登录就必须先解除禁止本地登录的组策略设置 问题还是有办法解决的分别讨论如下 一被域策略和域控制器策略所阻止 显然你应该是被域策略和域控制器策略同时阻止了登录权利因为 如果只是域策略阻止由于默认域控制器的策略上允许Administrators登录而域控制器(Domain Controllers)是个OU前面我们讲过组策略的LSDOU原则所以管理员可以登录到DC上把策略改回去 如果只是域控制器的策略阻止它只对DC生效管理员可以在域内的其它计算机上登录到域把策略改回去 要解决被域策略和域控制器策略同时阻止首先我们来回顾一下前面讲过的具体的策略设置值存储在GPT中位于DC的winnt\sysvol\sysvol中以GUID为文件夹名其中安全设置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmplinf这个安全模板文件中它实质就是一个文本文件可利用记事本进行编辑 说明前面我们介绍过默认域的策略默认域控制器的策略使用固定的GUID分别是 默认域的策略的GUID为BFDDFCFBF 默认域控制器的策略的GUID为ACCFDFCFBF 可以利用C盘的隐含共享C$或winnt\sysvol\sysvol的共享sysvol连过去直接编辑具体操作如下 在另一台联网的计算机(WinX//XP均可)上使用域管理员账号连接到DC 利用记事本打开GptTmplinf文件 找到文件中[Privilege Rights]小节下的拒绝本地登录SeDenyInteractiveLogonRight和允许在本地登录SeInteractiveLogonRight关键字进行编辑即可如 使SeDenyInteractiveLogonRight所等于的值为空 保证SeInteractiveLogonRight= *S…… 保存退出 说明 关于各SID所表示的意义参见前面的表格SID前面的*要保留系统执行时才不会其后面的SID当作具体的用户/组的名字 如果域中不止一台DC为保证DC同步时刚才所做的修改最终生效(原理同授权恢复)需要 ()打开winnt\sysvol\sysvol\你的域名\Policies\刚刚所修改策略的 GUID\ GPTINI文件 ()找到文件中的[General]小节下的Version手动将其值增大通常是加这是我们修改的这个组策略对象的版本号版本号提高后可以保证我们的更改被复制到其它DC上 ()保存退出 重新启动DC域策略将被刷新 说明也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略这样就不必重启DC了但需要用到telnet细节参考前面telnet命令和接下来的内容 以域管理员身份在DC上正常登录到域重新设置安全域策略中的相关项目 二被本地安全策略所阻止 很多人都会想到利用MMC远程管理功能重设目标机的安全策略具体操作如下 开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机如果有权限的话你会发现你能找到并管理其它的策略设置但是就是没有安全策略等项目出现在列表中 这是由于在Windows中不支持对计算机本地策略的安全设置部分进行远程管理而且本地安全策略设置的实现也与域策略不同它存放在一个二进制的安全数据库seceditsdb 那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上利用前面我们介绍过secedit命令导出安全设置到安全模板即扩展名为inf的文本文件中利用记事本编辑后再利用secedit命令将修改后的安全设置配置给计算机这样也就大功告功了但如果故障计算机上的telnet服务没有启动那么我们应该首先把故障计算机上telnet服务启动起来才能连过去 说明因为telnet服务的启动类型默认为手动所以正常情况下它是不会启动的此时连过去的出错信息为正在连接以xxx不能打开到主机的连接在端口连接失败 综上所述具体解决办法如下 在另一台联网的计算机(/XP/均可)上修改其管理员密码使用户名和口令均与故障计算机上的相同(这主要为了方便若在连接或使用的时候输入目标计算机上的用户名和口令也可以) 注销后重新登录进来 我的电脑/右键/管理打开计算机管理 在计算机管理上/右键/连接到另一台计算机故障计算机IP 在服务下找到telnet手动将它启动起来 接下来使用telnet连接过来 开始/运行cmd键入telnet 目标IP 在C:\>提示符下键入secedit /export /cfg c:\sectmpinf导出它的当前安全设置 点击开始/运行\\目标IP\C$双击c:\sectmpinf用记事本打开 编辑sectmpinf文件具体同前面情况一的步骤 回到步骤的命令窗口键入secedit /configure /db c:\sectmpsdb /CFG c:\sectmpinf将修改后的设置值配置给计算机 运行secedit /refreshpolicy machine_policy /enforce刷新策略这样就不必故障计算机了 以本地管理员身份在故障计算机上正常登录到域重新设置安全域策略中的相关项目 最后说明一下对于XP/不存在上述问题微软已经修正了这个问题用户不能阻止所有人或管理员登录在图形界面下根本设不上使用其它手段强行设上了也不起作用因此大家可以想一想针对上面第一种情况实际上可以加一台XP/到域在XP/上登录到域将其解开 本例的实际排错意义并不大但建议大家最好还是能把这个实验做一下因为它涉及到了很多知识点如基于域安全策略本地安全策略的实施原理组策略及其优先级权利SID还有同名同口令帐户登录telnetsecedit工具的使用等等再有大家也可以做一下实验既然我们能通过网络解开同样也能通过网络设上 QWin/域中默认策略被误删如何恢复? 对于Win微软在下载中心提供了Windows 默认策略还原工具的下载微软开发这一工具旨在帮助用户在意外删除默认策略时能够重新还原默认缺省域的组策略和默认域控制器的组策略文件请到下列地址下载相应工具 x?FamilyID=bbaebddbbabadd&DisplayLang=en 对于Win微软提醒用户不要将其应用于Windows Server 上Win自带的Dcgpofixexe就可以完成还原任务 需要强调的是作为管理员应及时将组策略的设置进行备份可利用/自带的备份工具把组策略作为系统状态的一部分进行备份也可以利用GPMC工具专门备份组策略的设置这样即使出问题了重新恢复也不用再把组策略重新设置了 Q作为管理员我通过组策略设置了一些限制如不要运行指定的windows应用程序但总有个别用户在网上能找到破解的办法我该怎么办? 这段话使我想起了关于网络安全一条名言没有绝对的安全我个人也觉得在计算机网络世界里永远是高手在蒙低手若水平都很高那么最终的安全又回到了物理安全设置上(术语叫社会工程)下面以不要运行指定的windows应用程序这条组策略设置的攻防转换来阐明这个问题 第一回合 管理员通过本地策略限制某用户运行某些用户程序如QQ反恐realplay等操作开始/运行键入gpeditmsc用户配置/管理模板/系统/不要运行指定的windows应用程序启用/显示/添加上述应用的exe文件名即可 用户用户如果知道管理员怎么设置的限制同样的办法取消限制即可 第二回合 管理员将mmcexe也加入到上述禁止运行列表中使用户无法打开任何MMC管理控制台 用户开始/运行cmd键入mmc将会打开控制台下文件/添加删除管理单元添加组策略对象编辑器/本地计算机策略取消限制 说明用户在CMD方式下直接键入gpeditmsc仍不能运行此解法的知识点来自这条策略的说明标签 第三回合 管理员将cmdexe也禁止运行 用户重新启动计算机按F选择带命令行的安全模式登录进来后在CMD方式下键入mmc将会打开控制台下文件/添加删除管理单元添加组策略对象编辑器/本地计算机策略取消限制 第四回合 管理员一看不行了还是借助于基于域的组策略吧将用户计算机加入到域不给用户本地管理员的口令要求用户使用一个域用户帐号(为不影响用户的其它正常应用可将其加入到客户机的Power Uers组)并将此域用户帐号放到一个OU中链接组策略设置上述限制 用户手动删除注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序 第五回合 管理员因为默认情况下若用户手动修改注册表中的组策略设置值若策略未变组策略不负责强制改回管理员可利用组策略/计算机配置/管理模板/系统/组策略/注册表策略处理设置成即使尚未更改组策略对象也进行处理执行强制性的周期性刷新策略 用户用户修改程序文件名以避开策略的限制(尤其是对非MS的应用程序) 第六回合 管理员设置权限让用户无权修改文件名 用 户利用用凤凰启动盘重设本地管理员密码以本地管理员登录进来后不受上述限制也可以干脆脱离域 第七回合 管理员在BIOS中禁用光驱并设上BIOS密码或物理断开光驱 用户打开机箱跳线清除BIOS密码或物理连接上光驱 …… …… 通过本例大家也看到了作为网络员应当不断学习提高自身技术才行在学习要充分利用Internet这个最广博的老师最大的知识库 |