前面我們講過安全策略是組策略的子集(一部分),我們會首先討論和安全策略相關的實例,然後纔是其
它的策略。
B1、普通域用戶無法在DC上登錄?
爲了保護域控制器,默認能在DC上登錄的用戶只有:Administrators、Account operators、Backup
operators、Server operators、Print operators這些特定的管理組。要想使普通域用戶有權在DC上登錄,可以
將其加入到這些組中。
但更多時候,我們不想讓用戶有過多的權利權限,也可以在開始/程序/管理工具/域控制器的安全策略/本
地策略/用戶權利分配/允許在本地登錄下通過添加,指派其在DC上登錄的權利即可。
B2、在03域中添加用戶時,總是提示我不符合密碼策略,怎麼辦?
對於03,默認域的安全策略與2000域不同。要求域用戶的口令必須符合複雜性要求,且密碼最小長度爲
7。口令的複雜性包括三條:一是大寫字母、小寫字母、數字、符號四種中必須有3種,二是密碼最小長度爲6,三
是口令中不得包括全部或部分用戶名。我們可以設置複雜一些的密碼,也可以重新設默認域的安全策略來解決。
操作如下:
開始/程序/管理工具/域安全策略/帳戶策略/密碼策略:
¨ 密碼必須符合複雜性要求:由“已啓用”改爲“已禁用”;
¨ 密碼長度最小值:由“7個字符”改爲“0個字符”。
欲策略設置馬上生效,可利用gpupdate進行刷新。(具體見前)
如果添加的是本地用戶,解決辦法與此相同,只不過修改的是本地安全策略。
B3、在2000/03域中,前網管設置了一個開機登陸時的提示頁面,已過時,現想取消,如何操作?
登錄到本機時出現,則在管理工具/本地安全策略,或開始/運行:gpedit.msc中配置。若是登錄到域時出
現,則在管理工具/域的安全策略,或AD用戶和計算機/屬性/組策略中配置。具體會涉及到:安全設置/本地策略/
安全選項下的這兩條,
¨ 交互式登錄:用戶試圖登錄時消息標題
¨ 交互式登錄:用戶試圖登錄時消息文字
B4、如何設置不讓用戶修改計算機的配置(如TCP/IP等)?
可以利用本地策略或基於域的組策略鎖定,具體操作:
1、 本地:開始/運行:gpedit.msc。或
2、 域:開始/程序/管理工具/AD用戶和計算機/域名上/右鍵/屬性/組策略/默認域的組策略
3、在用戶配置/管理模板/網絡/網絡及撥號連接:禁止訪問LAN連接的屬性。
說明:
1、 若利用本地策略實現,本地管理員,可以重新設置策略解開。
2、 若利用域策略實現,只是域用戶受此限制。本地管理員,不受此限制。
所以應該不給用戶本地管理員口令,讓用戶以非本地管理員/域用戶身份登錄。爲了保證用戶能安裝軟件或做其它
管理工作,可將其加入本地的Power Users組。
B5、非管理員用戶無法登錄到終端服務器?
欲使用戶能利用“終端服務客戶端軟件”或“遠程桌面”登錄到2000/03 Server,對於2000S需要在服務
器上安裝終端服務,對於03S只需在我的電腦/右鍵/屬性/遠程/遠程桌面下,選中“允許用戶遠程連接到這臺計算
機”即可。對於管理員默認即可通過TS登錄進來。
非管理員用戶通過終端服務無法登錄,除了網絡連接方面的問題以外,主要有以下五個方面的原因:
1、終端服務器同時是DC,而普通用戶無權在DC上登錄。
解決辦法:具體見前。
2、安全策略/本地策略/用戶權利分配:通過終端服務允許登錄。
這是03特有的,2000沒有這條安全策略。解決辦法,
方法一、在我的電腦/右鍵/屬性/遠程/遠程桌面下,選中“允許用戶遠程連接到這臺計算機”選項後,單擊“選
擇遠程用戶”/添加。用戶將被自動加入到Remote Desktop Users組,而這個組默認有“通過終端服務允許登錄”
的權利。
方法二、手動將用戶加入到Remote Desktop Users組
方法三、手動直接指派用戶“通過終端服務允許登錄”的權利
注意:如果終端服務器同時是DC,必須使用方法三。原因是爲了保護DC,DC上的本地安全策略裏,只允許
Administratrs組有此權利,而將Remote Desktop Users組刪掉了。
3、開始/程序/管理工具/終端服務配置/RDP-Tcp/右鍵/屬性/權限。
解決辦法:手動將用戶加入到Remote Desktop Users組,或確保用戶在此權限下有來賓訪問或用戶訪問的
權限。
4、用戶所用帳號口令爲空。
若終端服務器爲03,用戶使用此服務器上的本地帳號、且口令爲空,通過TS登錄。由於03本地安全策略/
本地策略/安全選項/帳戶:使用空白密碼的本地帳戶只允許進行控制檯登錄,默認啓用,這將會阻止用戶登錄。
解決辦法:使用非空密碼或禁用此策略。
順便提一下,這也是常見的通過網絡訪問XP/03上的共享資源,不通的原因之一。
5、所用帳號屬性/終端服務配置文件/“允許登錄到終端服務器”選項。
這個選項,默認就是選中的,除非有人動過。解決辦法:手動選中即可。
6、還有兩種可能:
(1)2000:未安裝TS服務;03:未啓用遠程桌面
(2)03:啓用了ICF,但未設允許RDP進入
B6、在2000(也僅是2000)中由於禁止本地登錄權利而導致的所有用戶、管理員無法登錄。
在安全策略/本地策略/用戶權利分配下有兩條策略:
¨ 拒絕本地登錄,默認爲“未定義”。
¨ 允許在本地登錄,其默認值分別爲:
u 本地計算機策略:Administrators、Backup Operators、Power Users、Users
u 默認域的策略:未定義
u 默認域控制器的策略:Administrators、Account Operators、Backup Operators、Server
Operators、Print Operators、IUSR_dcname
說明:如果在同一級別上、對同一對象(用戶或組)、同時設置了“允許”和“拒絕”,“拒絕”權利的
優先級別高。也就是說二者衝突時,“拒絕”權利生效。假設不小心或乾脆有人使壞在拒絕本地登錄上設置了所
有人或管理員,又或者在允許登錄上把管理員給刪掉了。不論哪一種情況都會導致管理員無法登錄,出錯提示
爲:“此係統的本地策略不允許您採用交互式登錄”,也就沒辦法將策略設置改回正常了。這種情形看起來像一
個解不開的"死結":要解除禁止本地登錄的組策略設置,必須以管理員身份本地登錄;要以管理員身份本地登
錄,就必須先解除禁止本地登錄的組策略設置。問題還是有辦法解決的,分別討論如下:
一、被域策略和域控制器策略所阻止
顯然你應該是被域策略和域控制器策略同時阻止了登錄權利,因爲:
1、如果只是域策略阻止,由於默認域控制器的策略上允許Administrators登錄,而域控制器(Domain
Controllers)是個OU,前面我們講過組策略的LSDOU原則,所以管理員可以登錄到DC上,把策略改回去。
2、如果只是域控制器的策略阻止,它只對DC生效。管理員可以在域內的其它計算機上登錄到域,把策略改回去。
要解決被域策略和域控制器策略同時阻止,首先我們來回顧一下前面講過的“具體的策略設置值存儲在GPT中,位
於DC的winnt\sysvol\sysvol中,以GUID爲文件夾名。”其中安全設置部分保存在DC的winnt\sysvol\sysvol\你的
域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf這個安全模板文件中。它實
質就是一個文本文件,可利用記事本進行編輯。
說明:前面我們介紹過,默認域的策略、默認域控制器的策略使用固定的GUID,分別是:
¨ 默認域的策略的GUID爲31B2F 340-016D-11D2-945F -00C 04FB984F 9
¨ 默認域控制器的策略的GUID爲6AC 1786C -016F -11D2-945F -00C 04FB984F 9。
可以利用C盤的隱含共享C$,或winnt\sysvol\sysvol的共享sysvol連過去,直接編輯,具體操作如下:
1、在另一臺聯網的計算機(Win9X/2000/XP均可)上,使用域管理員賬號連接到DC。
2、利用記事本打開GptTmpl.inf文件。
3、找到文件中[Privilege Rights]小節下的拒絕本地登錄“SeDenyInteractiveLogonRight”和允許在本地登錄
“SeInteractiveLogonRight”關鍵字,進行編輯即可。如:
¨ 使SeDenyInteractiveLogonRight所等於的值爲空。
¨ 保證SeInteractiveLogonRight= *S-1-5-32 -544,……
4、保存退出。
說明:
1、關於各SID所表示的意義,參見前面的表格。SID前面的*要保留,系統執行時纔不會其後面的SID當作具體的用
戶/組的名字。
2、如果域中不止一臺DC,爲保證DC同步時剛纔所做的修改最終生效(原理同授權恢復),需要:
(1)打開winnt\sysvol\sysvol\你的域名\Policies\剛剛所修改策略的 GUID\ GPT.INI文件
(2)找到文件中的[General]小節下的“Version”,手動將其值增大,通常是加10000。這是我們修改的這個組
策略對象的版本號,版本號提高後可以保證我們的更改被複制到其它DC上。
(3)保存退出。
5、重新啓動DC,域策略將被刷新。
說明:也可以在DC上運行secedit /refreshpolicy machine_policy /enforce刷新策略,這樣就不必重啓DC了。
但需要用到telnet,細節參考前面telnet命令和接下來的內容。
6、以域管理員身份在DC上正常登錄到域,重新設置安全域策略中的相關項目。
二、被本地安全策略所阻止
很多人都會想到利用MMC遠程管理功能,重設目標機的安全策略。具體操作如下:
開始/運行/MMC/添加/組策略/瀏覽/計算機/另一臺計算機,如果有權限的話,你會發現你能找到並管理其它的策
略設置,但是就是沒有安全策略等項目出現在列表中。
這是由於在Windows2000中,不支持對計算機本地策略的安全設置部分進行遠程管理。而且本地安全策略
設置的實現也與域策略不同,它存放在一個二進制的安全數據庫secedit.sdb。那麼我們該怎麼辦呢?我們可以使
用telnet連接到故障計算機上,利用前面我們介紹過secedit命令導出安全設置到安全模板,即擴展名爲.inf的文
本文件中。利用記事本編輯後,再利用secedit命令將修改後的安全設置配置給計算機,這樣也就大功告功了。但
如果故障計算機上的telnet服務沒有啓動,那麼我們應該首先把故障計算機上telnet服務啓動起來,才能連去。
說明:因爲telnet服務的啓動類型,默認爲手動,所以正常情況下它是不會啓動的。此時連過去的出錯信息爲:
正在連接以xxx不能打開到主機的連接,在端口23:連接失敗。
綜上所述,具體解決辦法如下:
1、在另一臺聯網的計算機(2000/XP/03均可)上,修改其管理員密碼,使用戶名和口令均與故障計算機上的相
同。(這主要爲了方便,若在連接或使用的時候輸入目標計算機上的用戶名和口令,也可以)
2、註銷後,重新登錄進來。
3、我的電腦/右鍵/管理,打開計算機管理。
4、在計算機管理上/右鍵/連接到另一臺計算機:故障計算機IP。
5、在服務下找到telnet,手動將它啓動起來。
接下來使用telnet連接過來
6、開始/運行:cmd,鍵入telnet 目標IP
7、在C:\>提示符下,鍵入secedit /export /cfg c:\sectmp.inf,導出它的當前安全設置。
8、點擊開始/運行:\\目標IP\C$,雙擊c:\sectmp.inf,用記事本打開。
9、編輯sectmp.inf文件,具體同前面情況一的步驟3
10、回到步驟7的命令窗口,鍵入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf將修改後的設置
值,配置給計算機。
11、運行secedit /refreshpolicy machine_policy /enforce刷新策略,這樣就不必故障計算機了。
12、以本地管理員身份在故障計算機上正常登錄到域,重新設置安全域策略中的相關項目。最後說明一下:對於
XP/03不存在上述問題,微軟已經修正了這個問題。用戶不能阻止所有人或管理員登錄,在圖形界面下根本設不
上;使用其它手段強行設上了也不起作用。因此大家可以想一想,針對上面第一種情況,實際上可以加一臺XP/03
到2000域,在XP/03上登錄到域,將其解開。本例的實際排錯意義並不大,但建議大家最好還是能把這個實驗做一
下,因爲它涉及到了很多知識點,如
:基於域安全策略、本地安全策略的實施原理,組策略及其優先級,權利、SID,還有同名同口令帳戶登錄、
telnet、secedit工具的使用等等。再有大家也可以做一下實驗,既然我們能通過網絡解開,同樣也能通過網絡設
上。
B7、Win2000/03域中默認策略被誤刪,如何恢復?
對於Win2000,微軟在“下載中心”提供了Windows 2000默認策略還原工具的下載。微軟開發這一
工具旨在幫助用戶在意外刪除默認策略時,能夠重新還原“默認缺省域的組策略”和“默認域控制器的組策略”
文件。請到下列地址下載相應工具:
976d6873129d&DisplayLang=en
對於Win03,微軟提醒用戶不要將其應用於Windows Server 2003上。Win03自帶的Dcgpofix.exe就可以完成
還原任務。需要強調的是:作爲管理員應及時將組策略的設置進行備份。可利用2000/03自帶的備份工具,把組策
略作爲系統狀態的一部分進行備份。也可以利用GPMC工具專門備份組策略的設置。這樣即使出問題了,重新恢
復,也不用再把組策略重新設置了。
B8、作爲管理員,我通過組策略設置了一些限制,如“不要運行指定的windows應用程序”,但總有個別用
戶在網上能找到破解的辦法,我該怎麼辦?
這段話使我想起了關於網絡安全一條名言:沒有絕對的安全。我個人也覺得在計算機網絡世界裏,永遠是
高手在蒙低手。若水平都很高,那麼最終的安全又回到了物理安全設置上(術語叫:社會工程)。下面以“不要
運行指定的windows應用程序”這條組策略設置的***轉換,來闡明這個問題
第一回合:
管理員:通過本地策略限制某用戶運行某些用戶程序,如QQ、反恐、realplay等。操作:開始/運行,鍵
入gpedit.msc,用戶配置/管理模板/系統/不要運行指定的windows應用程序,啓用/顯示/添加:上述應用
的.exe文件名即可。
用 戶:用戶如果知道管理員怎麼設置的限制,同樣的辦法取消限制即可。
第二回合:
管理員:將mmc.exe也加入到上述禁止運行列表中,使用戶無法打開任何MMC管理控制檯。
用 戶:開始/運行:cmd,鍵入mmc,將會打開控制檯下,文件/添加刪除管理單元,添加:組策略對象編
輯器/本地計算機策略,取消限制。
說明:用戶在CMD方式下,直接鍵入gpedit.msc仍不能運行。此解法的知識點來自這條策略的說明標籤。
第三回合:
管理員:將cmd.exe也禁止運行
用 戶:重新啓動計算機,按F8,選擇帶命令行的安全模式。登錄進來後,在CMD方式下,鍵入mmc,將會
打開控制檯下,文件/添加刪除管理單元,添加:組策略對象編輯器/本地計算機策略,取消限制
第四回合:
管理員:一看不行了,還是藉助於基於域的組策略吧。將用戶計算機加入到域,不給用戶本地管理員的口
令,要求用戶使用一個域用戶帳號(爲不影響用戶的其它正常應用,可將其加入到客戶機的Power Uers組),並
將此域用戶帳號放到一個OU中,鏈接組策略,設置上述限制。
用 戶:手動刪除註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun下的被禁用
的程序。
第五回合:
管理員:因爲默認情況下,若用戶手動修改註冊表中的組策略設置值,若策略未變,組策略不負責強制改
回。管理員可利用組策略/計算機配置/管理模板/系統/組策略/註冊表策略處理,設置成“即使尚未更改組
策略對象也進行處理”,執行強制性的、週期性刷新策略。
用 戶:用戶修改程序文件名,以避開策略的限制(尤其是對非MS的應用程序)。
第六回合:
管理員:設置權限,讓用戶無權修改文件名。
用 戶:利用用鳳凰啓動盤重設本地管理員密碼,以本地管理員登錄進來後,不受上述限制,也可以幹
脆脫離域
第七回合:
管理員:在BIOS中禁用光驅並設上BIOS密碼,或物理斷開光驅。
用 戶:打開機箱,跳線清除BIOS密碼,或物理連接上光驅。