活動目錄(Active Directory)域故障解決實例(二)
接上文 活動目錄(Active Directory)域故障解決實例(一)
Q18、如何清理AD數據庫中的垃圾對象。
如果我們非正常卸載AD子域、DC等,就會在AD元數據庫中留下垃圾。比如上面的例子,又比如未經AD卸載就把DC計算機的系統重做了。這些垃圾對象一般來講無礙大局,但如果我們想優化AD的性能,不想給用戶帶來不必要的麻煩(比如用戶選擇登錄到已經不存在的子域),就可以利用ntdsutil工具進行元數據庫清理(metadata cleanup),來刪除垃圾對象。具體操作如下:
1、開始/運行:cmd,在命令行下鍵入 ntdsutil。
說明:
(1)直接,開始/運行:ntdsutil,也可以。
(2)進行元數據庫清理,不要進到目錄恢復模式下。
(3)進行元數據庫清理,可以在非DC的2000/XP/03計算機上進行。但有些操作(如使用ntdsutil工具進行授權恢復、整理移動AD庫文件)必須在DC上進行。
(4)在ntdsutil的每級菜單下都可以通過鍵入:?或HELP,查看本級菜單下可用的命令。
2、在 ntdsutil: 提示符下,鍵入 metadata cleanup ,然後按 ENTER。
說明:ntdsutil是個分層的多級命令行工具,用戶在鍵入名字時,可簡寫,只要不同於本級命令中的其它命令即可。比如上面的命令metadata cleanup可簡寫爲m c。
3、在 metadata cleanup: 提示符下,鍵入 connections ,然後按 ENTER。
4、在 server connections: 提示符下,鍵入 connect to server servername,然後按 ENTER。
說明:
(1)其中 servername 是指域控制器的DNS名稱,用主機名或FQDN均可。注意:雖然聯機說明中提到了可以用IP去連,但實際上發現用IP去連接,會出現參數不正確的出錯提示。
(2)在這裏要連接的DC,應是一個正常工作的、可操作的DC,而不是你要清理的那個DC對象。
5、鍵入 quit ,然後按 ENTER 回到 metadata cleanup: 提示符。
6、鍵入 select operation target ,然後按 ENTER。
7、鍵入 list domains ,然後按 ENTER。
說明:此操作將列出林中的所有域,每一域附帶與其相關聯的一個數字。
8、鍵入 select domain number,然後按 ENTER。
說明:其中 number 是與故障服務器所在的域相關的數字。
9、鍵入 list sites ,然後按 ENTER。
10、鍵入 select site number,然後按 ENTER。
說明:其中 number 是指域控制器所屬的站點號碼。
11、鍵入 list servers in site ,然後按 ENTER。
說明:這將列出站點上所有服務器,每一服務器附帶一個相關的數字。
12、鍵入 select server number,然後按 ENTER 。
說明:其中 number 是指要刪除的域控制器。
13、鍵入 quit ,然後按 ENTER,退回到Metadata cleanup 菜單。
接下來,根據需要,刪除相應的垃圾對象:
14、鍵入 remove selected server ,然後按 ENTER。
此時,Active Directory 確認域控制器已成功刪除。若收到無法找到對象的錯誤報告,Active Directory 可能已刪除了域控制器。
15、或者鍵入 remove selected domain,然後按 ENTER。
說明:要想刪除域,必須得先刪除這個域的server對象(實質是DC)才行。
16、鍵入 quit 然後按 ENTER 直至回到命令符。
如果清理的是Server對象,還需要:1、到Active Directory 站點和服務上,展開適當站點,刪除相應Server對象。2、到Active Directory 用戶和計算機上,雙擊打開Domain Controllers這個OU,刪除相應的DC對象。
如果清理的是Domain對象,還需要到Active Directory域和信任關係上,刪除相應的已經沒有用的信任關係。否則該域名還會出現在登錄的域列表。
在實際操作中,必須先做元數據清理,然後再到相應的管理工具中刪除相應的對象。若是直接到管理工具中去刪,系統將不允許刪除。
Q19、欲替換域中唯一的一臺DC,如何傳送五種主控和轉移GC。
一、傳送五種主控
操作:
1、安裝第二臺DC(假設爲DC2,原來的爲DC1),
2、到相應的管理工具(具體見前)下,右鍵連接到域控制器:DC2,
3、右鍵/操作主機/相應標籤下,點擊更改即可。
說明:
1、其實在圖形界面下,操作很簡單,關鍵看能不能成功。
2、目標都在下面,只有架構的特殊,目標在上面。
3、如果DC都是最近安裝的,極易成功。如果是運行了一段時間的,就不好說了。但我估計你的成功率應在九成以上,因爲一般網管都不太動這個。
4、傳送結構主控時,若目標已是GC,會提示出錯。可以不理會,繼續。因爲結構主控負責:更新外部對象的索引(組成員資格),不應該和GC在同一個DC上,應手動移走,否則將不起作用。而單域不需要基礎結構主控非得有效,我們一般平常用的都是單域,默認基礎結構主控就和GC在一起,不起作用。
5、若傳送不成功,不要着急,等5分鐘~2小時不等,你什麼都沒做,再試可能就成功了。可以利用AD站點和服務/站點/默認的第一個站點名/SERVER/DC/ntds setting/AD連接/右鍵/立即複製副本,來強制AD馬上覆制。但有時候,僅依賴於此,還是不行,還得等。
6、至於把老DC從AD中去除,在開始/運行/DCPROMO,卸載AD。不要選“這是域中最後一臺DC”,若能成功卸載,就一切OK了。如不成功,可以直接把原DC廢掉重裝。AD中會有原DC的垃圾對象,也不影響什麼。若非要清乾淨,參見前例。
7、如果原角色DC已經無法訪問,就只能進行強制傳送了,也就是查封(seize)。查封的實質就是強行推出新的主控,會有數據的丟失。在圖形界面下會有提示:原主控無法聯繫,是否強行傳送。選擇“是”,進行的就是查封操作。
8、利用ntdsutil工具roles下transfer命令和seize命令也可以實現上述操作。實驗中發現,無論是用transfer還是seize,關鍵看是否能連接到原主控。連接下情況,就是傳送;不連接情況下就是查封。如:在連接情況下,使用查封(seize)命令,操作的結果仍是傳送:原主控不再是主控,目標成爲新的主控。
二、轉移GC
GC不具有唯一性,可在AD站點和服務中,將DC2設爲GC。操作如下:
1、在Default-First-Site-Name/servers/dc2/NTDS Settings/右鍵/屬性。
2、選中“全局編錄”。
3、你會看到在選項下面的說明:發佈全局目錄所需要的時間取決您使用的複製拓撲。
說明:不要急於把DC1斷開,應等待足夠長的時間,局域網環境一般也就是幾分鐘。是否將GC的內容成功傳送,可在DC2上查看註冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters下是否有這樣一條:Global Catalog Promotion Complete=1。若未傳送完,沒有這一條。
Q20、如何進行AD的備份與恢復
最好的辦法是作爲系統狀態數據的一部分,利用2000/03自帶的備份工具來進行備份/恢復。備份工具位於:開始/程序/附件/系統工具下。利用備份/恢復系統狀態數據,可以恢復之前的域用戶帳戶數據和DNS,以及安全設置、組策略設置、還有配置等等。但DHCP、WINS等需要單獨備份。
說明:
說明:
1、 DNS區域必須爲AD集成區域,如果不是,在備份之前,將標準主區域轉成AD集成區域即可。因爲AD集成的意思就是:將DNS區域信息,作爲AD的一部分進行存儲、複製。
2、 管理工具下有關AD和域的管理工具的快捷方式不會被恢復(03仍未解決這個問題),可以運行2000S光盤I386\adminpak.msi,將所有的域管理工具追加上。也可手動開始/運行/MMC,添加相應的管理工具,如DNS、AD用戶和計算機等。
3、 重裝的2000/03系統,不必安裝AD,直接恢復就行。開機,F8,目錄恢復模式,恢復大約需要4-5分鐘。(實際當中我也試了,新裝的系統,沒有安裝AD,在正常啓動模式下恢復也可以,因爲它根本沒有AD,不涉及到AD正在工作,不允許替換的問題,只不過時間會稍長一些,約7-8分鐘)
4、 2000下利用備份工具恢復系統狀態數據時,需要手動將“如果文件已存在:不替換”改爲“如果文件已存在,總是替換”。
具體操作:工具/選項/還原:選擇“無條件替換本地上的文件”。否則2000在恢復時,可能不會把winnt\sysvol\sysvol(裏面是組策略具體的設置值,被稱爲GPT)給恢復回來。03DC上沒有這個問題,系統會自動提示是否替換,選擇“是”即可。
5、具體備份/恢復的步驟,參考下例。
Q21、如何進行授權恢復
首先我們通過一個例子,來說明一下什麼是授權恢復。
設域內有不止一臺DC,管理員誤刪除了一個OU,然後用以前的AD備份進行了恢復操作。如果不做什麼特別的設置(即授權恢復),當DC間進行AD同步時,由被恢復的數據是以前的,AD的版本號低,將被其它DC的高版本內容所覆蓋。這樣剛被恢復的OU就又被刪掉了。
所以我們需要手動通過ntdsutil工具指定對這個OU對象進行授權恢復,系統將按距備份時間每隔一天100000的標準來增加其AD版本號,確保一定高於其它DC上的版本號。
具體操作如下:
1、重啓DC,按F8,選擇目錄恢復模式
2、用目錄恢復模式下的管理員SAM帳號登錄
3、開始/程序/附件/系統工具/備份,在恢復標籤下進行“系統狀態數據”的恢復
4、若此時重新啓動DC,則以上爲正常恢復,即非授權恢復。
若要進行授權恢復,則此時一定不要重啓DC
4、開始/運行:ntdsutil
5、鍵入authoritative restore,到授權恢復提示符
6、鍵入restore subtree 對象DN(也可以是子樹,甚至是整個AD)
7、退出Ntdsutil
8、重新正常啓動DC。
說明:若要進行系統卷SYSVOL(主要是組策略設置)的授權恢復,即將組策略恢復到以前的狀態,但AD庫要保留當前。不必使用Ntdsutil,直接將AD庫恢復到其它位置即可,這是因爲系統狀態數據在備份/恢復時,不能進行細化的選擇。
Q22、如何移動、整理AD數據庫?
一、移動AD數據庫
將 Ntds.dit 數據文件移動到指定的新目錄中並更新註冊表,使得在系統重新啓動時,目錄服務使用新的位置。系統爲了安全起見,並不刪除原來的數據庫。具體操作如下:
1、爲了以防萬一,最好備份AD。
2、重啓DC,按F8,選擇目錄恢復模式
3、用目錄恢復模式下的管理員SAM帳號登錄
4、開始/運行:ntdsutil
5、輸入files,切換到文件提示符files>下
6、輸入 move DB to c:\ folder
7、移動Ntds.dit成功提示。
8、輸入quit二次,退出
9、重新正常啓動DC
二、整理AD數據庫
將調用 Esentutl.exe 以壓縮現有的AD庫文件,並將壓縮後的AD庫文件寫入到指定文件夾中。壓縮完成之後,將保留原來的AD庫文件,將新的壓縮後的AD庫文件保存到到該文件的原來位置。
另外順便說明一下,ESENT也支持聯機壓縮,目錄服務定期(默認12小時)調用聯機壓縮,但聯機壓縮只是重新安排數據文件內的頁面,並不能象手動壓縮這樣:將空間釋放回文件系統。
整理AD數據庫具體步驟如下:
1-5步,與前面相同。
6、輸入compact to c:\folder
7、顯示整理碎片,直至完成。
8、輸入quit,退出。
9、對於2000需要:複製新的NTDS.DIT文件覆蓋舊的NTDS.DIT文件
10、重新正常啓動DC2-3-4 組策略應用相關實例
關於組策略應用的實例,那真是三天三夜也說不完,因爲總共有600+200多條策略。在此僅舉幾例,來說明問題。有的比較簡單,有的稍微複雜一些,我們會展開來討論一下。需要強調的是,作爲管理員平時要多看看組策略中具體都有哪些設置,當然誰也不可能逐條去實踐去測試,但要大概有個印象。當有某種需求時,你纔會想起某條組策略設置來,根據印象找到那條策略,先看說明標籤,再具體實踐,逐步積累。
前面我們講過安全策略是組策略的子集(一部分),我們會首先討論和安全策略相關的實例,然後纔是其它的策略。
Q1、普通域用戶無法在DC上登錄?
爲了保護域控制器,默認能在DC上登錄的用戶只有:Administrators、Account operators、Backup operators、Server operators、Print operators這些特定的管理組。要想使普通域用戶有權在DC上登錄,可以將其加入到這些組中。
但更多時候,我們不想讓用戶有過多的權利權限,也可以在開始/程序/管理工具/域控制器的安全策略/本地策略/用戶權利分配/允許在本地登錄下通過添加,指派其在DC上登錄的權利即可。
Q2、在03域中添加用戶時,總是提示我不符合密碼策略,怎麼辦?
對於03,默認域的安全策略與2000域不同。要求域用戶的口令必須符合複雜性要求,且密碼最小長度爲7。口令的複雜性包括三條:一是大寫字母、小寫字母、數字、符號四種中必須有3種,二是密碼最小長度爲6,三是口令中不得包括全部或部分用戶名。
我們可以設置複雜一些的密碼,也可以重新設默認域的安全策略來解決。操作如下:
開始/程序/管理工具/域安全策略/帳戶策略/密碼策略:
¨ 密碼必須符合複雜性要求:由“已啓用”改爲“已禁用”;
¨ 密碼長度最小值:由“7個字符”改爲“0個字符”。
欲策略設置馬上生效,可利用gpupdate進行刷新。(具體見前)
如果添加的是本地用戶,解決辦法與此相同,只不過修改的是本地安全策略。
Q3、在2000/03域中,前網管設置了一個開機登陸時的提示頁面,已過時,現想取消,如何操作?
登錄到本機時出現,則在管理工具/本地安全策略,或開始/運行:gpedit.msc中配置。若是登錄到域時出現,則在管理工具/域的安全策略,或AD用戶和計算機/屬性/組策略中配置。具體會涉及到:安全設置/本地策略/安全選項下的這兩條,
¨ 交互式登錄:用戶試圖登錄時消息標題
¨ 交互式登錄:用戶試圖登錄時消息文字
Q4、如何設置不讓用戶修改計算機的配置(如TCP/IP等)?
可以利用本地策略或基於域的組策略鎖定,具體操作:
1、 本地:開始/運行:gpedit.msc。或
2、 域:開始/程序/管理工具/AD用戶和計算機/域名上/右鍵/屬性/組策略/默認域的組策略
3、在用戶配置/管理模板/網絡/網絡及撥號連接:禁止訪問LAN連接的屬性。
說明:
1、 若利用本地策略實現,本地管理員,可以重新設置策略解開。
2、 若利用域策略實現,只是域用戶受此限制。本地管理員,不受此限制。
所以應該不給用戶本地管理員口令,讓用戶以非本地管理員/域用戶身份登錄。爲了保證用戶能安裝軟件或做其它管理工作,可將其加入本地的Power Users組。
Q5、非管理員用戶無法登錄到終端服務器?
欲使用戶能利用“終端服務客戶端軟件”或“遠程桌面”登錄到2000/03 Server,對於2000S需要在服務器上安裝終端服務,對於03S只需在我的電腦/右鍵/屬性/遠程/遠程桌面下,選中“允許用戶遠程連接到這臺計算機”即可。對於管理員默認即可通過TS登錄進來。
非管理員用戶通過終端服務無法登錄,除了網絡連接方面的問題以外,主要有以下五個方面的原因:
1、終端服務器同時是DC,而普通用戶無權在DC上登錄。
解決辦法:具體見前。
2、安全策略/本地策略/用戶權利分配:通過終端服務允許登錄。
這是03特有的,2000沒有這條安全策略。解決辦法,
方法一、在我的電腦/右鍵/屬性/遠程/遠程桌面下,選中“允許用戶遠程連接到這臺計算機”選項後,單擊“選擇遠程用戶”/添加。用戶將被自動加入到Remote Desktop Users組,而這個組默認有“通過終端服務允許登錄”的權利。
方法二、手動將用戶加入到Remote Desktop Users組
方法三、手動直接指派用戶“通過終端服務允許登錄”的權利
注意:如果終端服務器同時是DC,必須使用方法三。原因是爲了保護DC,DC上的本地安全策略裏,只允許Administratrs組有此權利,而將Remote Desktop Users組刪掉了。
3、開始/程序/管理工具/終端服務配置/RDP-Tcp/右鍵/屬性/權限。
解決辦法:手動將用戶加入到Remote Desktop Users組,或確保用戶在此權限下有來賓訪問或用戶訪問的權限。
4、用戶所用帳號口令爲空。
若終端服務器爲03,用戶使用此服務器上的本地帳號、且口令爲空,通過TS登錄。由於03本地安全策略/本地策略/安全選項/帳戶:使用空白密碼的本地帳戶只允許進行控制檯登錄,默認啓用,這將會阻止用戶登錄。解決辦法:使用非空密碼或禁用此策略。
順便提一下,這也是常見的通過網絡訪問XP/03上的共享資源,不通的原因之一。
5、所用帳號屬性/終端服務配置文件/“允許登錄到終端服務器”選項。
這個選項,默認就是選中的,除非有人動過。解決辦法:手動選中即可。
6、還有兩種可能:
(1)2000:未安裝TS服務;03:未啓用遠程桌面
(2)03:啓用了ICF,但未設允許RDP進入
(1)2000:未安裝TS服務;03:未啓用遠程桌面
(2)03:啓用了ICF,但未設允許RDP進入
Q6、在2000(也僅是2000)中由於禁止本地登錄權利而導致的所有用戶、管理員無法登錄。
在安全策略/本地策略/用戶權利分配下有兩條策略:
¨ 拒絕本地登錄,默認爲“未定義”。
¨ 允許在本地登錄,其默認值分別爲:
u 本地計算機策略:Administrators、Backup Operators、Power Users、Users
u 默認域的策略:未定義
u 默認域控制器的策略:Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname
說明:如果在同一級別上、對同一對象(用戶或組)、同時設置了“允許”和“拒絕”,“拒絕”權利的優先級別高。也就是說二者衝突時,“拒絕”權利生效。
假設不小心或乾脆有人使壞在拒絕本地登錄上設置了所有人或管理員,又或者在允許登錄上把管理員給刪掉了。不論哪一種情況都會導致管理員無法登錄,出錯提示爲:“此係統的本地策略不允許您採用交互式登錄”,也就沒辦法將策略設置改回正常了。
這種情形看起來像一個解不開的"死結":要解除禁止本地登錄的組策略設置,必須以管理員身份本地登錄;要以管理員身份本地登錄,就必須先解除禁止本地登錄的組策略設置。
問題還是有辦法解決的,分別討論如下:
一、被域策略和域控制器策略所阻止
顯然你應該是被域策略和域控制器策略同時阻止了登錄權利,因爲:
1、如果只是域策略阻止,由於默認域控制器的策略上允許Administrators登錄,而域控制器(Domain Controllers)是個OU,前面我們講過組策略的LSDOU原則,所以管理員可以登錄到DC上,把策略改回去。
2、如果只是域控制器的策略阻止,它只對DC生效。管理員可以在域內的其它計算機上登錄到域,把策略改回去。
要解決被域策略和域控制器策略同時阻止,首先我們來回顧一下前面講過的“具體的策略設置值存儲在GPT中,位於DC的winnt\sysvol\sysvol中,以GUID爲文件夾名。”其中安全設置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf這個安全模板文件中。它實質就是一個文本文件,可利用記事本進行編輯。
說明:前面我們介紹過,默認域的策略、默認域控制器的策略使用固定的GUID,分別是:
¨ 默認域的策略的GUID爲31B2F 340-016D-11D2-945F -00C 04FB984F 9
¨ 默認域控制器的策略的GUID爲6AC 1786C -016F -11D2-945F -00C 04FB984F 9。
可以利用C盤的隱含共享C$,或winnt\sysvol\sysvol的共享sysvol連過去,直接編輯,具體操作如下:
1、在另一臺聯網的計算機(Win9X/2000/XP均可)上,使用域管理員賬號連接到DC。
2、利用記事本打開GptTmpl.inf文件。
3、找到文件中[Privilege Rights]小節下的拒絕本地登錄“SeDenyInteractiveLogonRight”和允許在本地登錄“SeInteractiveLogonRight”關鍵字,進行編輯即可。如:
¨ 使SeDenyInteractiveLogonRight所等於的值爲空。
¨ 保證SeInteractiveLogonRight= *S-1-5-32 -544,……
4、保存退出。
說明:
1、關於各SID所表示的意義,參見前面的表格。SID前面的*要保留,系統執行時纔不會其後面的SID當作具體的用戶/組的名字。
2、如果域中不止一臺DC,爲保證DC同步時剛纔所做的修改最終生效(原理同授權恢復),需要:
(1)打開winnt\sysvol\sysvol\你的域名\Policies\剛剛所修改策略的 GUID\ GPT.INI文件
(2)找到文件中的[General]小節下的“Version”,手動將其值增大,通常是加10000。這是我們修改的這個組策略對象的版本號,版本號提高後可以保證我們的更改被複制到其它DC上。
(3)保存退出。
5、重新啓動DC,域策略將被刷新。
說明:也可以在DC上運行secedit /refreshpolicy machine_policy /enforce刷新策略,這樣就不必重啓DC了。但需要用到telnet,細節參考前面telnet命令和接下來的內容。
6、以域管理員身份在DC上正常登錄到域,重新設置安全域策略中的相關項目。
二、被本地安全策略所阻止
很多人都會想到利用MMC遠程管理功能,重設目標機的安全策略。具體操作如下:
開始/運行/MMC/添加/組策略/瀏覽/計算機/另一臺計算機,如果有權限的話,你會發現你能找到並管理其它的策略設置,但是就是沒有安全策略等項目出現在列表中。
這是由於在Windows2000中,不支持對計算機本地策略的安全設置部分進行遠程管理。而且本地安全策略設置的實現也與域策略不同,它存放在一個二進制的安全數據庫secedit.sdb。
那麼我們該怎麼辦呢?我們可以使用telnet連接到故障計算機上,利用前面我們介紹過secedit命令導出安全設置到安全模板,即擴展名爲.inf的文本文件中。利用記事本編輯後,再利用secedit命令將修改後的安全設置配置給計算機,這樣也就大功告功了。但如果故障計算機上的telnet服務沒有啓動,那麼我們應該首先把故障計算機上telnet服務啓動起來,才能連過去。
說明:因爲telnet服務的啓動類型,默認爲手動,所以正常情況下它是不會啓動的。此時連過去的出錯信息爲:正在連接以xxx不能打開到主機的連接,在端口23:連接失敗。
綜上所述,具體解決辦法如下:
1、在另一臺聯網的計算機(2000/XP/03均可)上,修改其管理員密碼,使用戶名和口令均與故障計算機上的相同。(這主要爲了方便,若在連接或使用的時候輸入目標計算機上的用戶名和口令,也可以)
2、註銷後,重新登錄進來。
3、我的電腦/右鍵/管理,打開計算機管理。
4、在計算機管理上/右鍵/連接到另一臺計算機:故障計算機IP。
5、在服務下找到telnet,手動將它啓動起來。
接下來使用telnet連接過來
6、開始/運行:cmd,鍵入telnet 目標IP
7、在C:\>提示符下,鍵入secedit /export /cfg c:\sectmp.inf,導出它的當前安全設置。
8、點擊開始/運行:\\目標IP\C$,雙擊c:\sectmp.inf,用記事本打開。
9、編輯sectmp.inf文件,具體同前面情況一的步驟3
10、回到步驟7的命令窗口,鍵入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf將修改後的設置值,配置給計算機。
11、運行secedit /refreshpolicy machine_policy /enforce刷新策略,這樣就不必故障計算機了。
12、以本地管理員身份在故障計算機上正常登錄到域,重新設置安全域策略中的相關項目。
最後說明一下:對於XP/03不存在上述問題,微軟已經修正了這個問題。用戶不能阻止所有人或管理員登錄,在圖形界面下根本設不上;使用其它手段強行設上了也不起作用。因此大家可以想一想,針對上面第一種情況,實際上可以加一臺XP/03到2000域,在XP/03上登錄到域,將其解開。
本例的實際排錯意義並不大,但建議大家最好還是能把這個實驗做一下,因爲它涉及到了很多知識點,如:基於域安全策略、本地安全策略的實施原理,組策略及其優先級,權利、SID,還有同名同口令帳戶登錄、telnet、secedit工具的使用等等。再有大家也可以做一下實驗,既然我們能通過網絡解開,同樣也能通過網絡設上。
Q7、Win2000/03域中默認策略被誤刪,如何恢復?
對於Win2000,微軟在“下載中心”提供了Windows 2000默認策略還原工具的下載。微軟開發這一工具旨在幫助用戶在意外刪除默認策略時,能夠重新還原“默認缺省域的組策略”和“默認域控制器的組策略”文件。請到下列地址下載相應工具:
[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab[/url]2a -976d6873129d&DisplayLang=en
對於Win03,微軟提醒用戶不要將其應用於Windows Server 2003上。Win03自帶的Dcgpofix.exe就可以完成還原任務。
需要強調的是:作爲管理員應及時將組策略的設置進行備份。可利用2000/03自帶的備份工具,把組策略作爲系統狀態的一部分進行備份。也可以利用GPMC工具專門備份組策略的設置。這樣即使出問題了,重新恢復,也不用再把組策略重新設置了。
Q8、作爲管理員,我通過組策略設置了一些限制,如“不要運行指定的windows應用程序”,但總有個別用戶在網上能找到破解的辦法,我該怎麼辦?
這段話使我想起了關於網絡安全一條名言:沒有絕對的安全。我個人也覺得在計算機網絡世界裏,永遠是高手在蒙低手。若水平都很高,那麼最終的安全又回到了物理安全設置上(術語叫:社會工程)。下面以“不要運行指定的windows應用程序”這條組策略設置的***轉換,來闡明這個問題
第一回合:
管理員:通過本地策略限制某用戶運行某些用戶程序,如QQ、反恐、realplay等。操作:開始/運行,鍵入gpedit.msc,用戶配置/管理模板/系統/不要運行指定的windows應用程序,啓用/顯示/添加:上述應用的.exe文件名即可。
用 戶:用戶如果知道管理員怎麼設置的限制,同樣的辦法取消限制即可。
第二回合:
管理員:將mmc.exe也加入到上述禁止運行列表中,使用戶無法打開任何MMC管理控制檯。
用 戶:開始/運行:cmd,鍵入mmc,將會打開控制檯下,文件/添加刪除管理單元,添加:組策略對象編輯器/本地計算機策略,取消限制。
說明:用戶在CMD方式下,直接鍵入gpedit.msc仍不能運行。此解法的知識點來自這條策略的說明標籤。
第三回合:
管理員:將cmd.exe也禁止運行
用 戶:重新啓動計算機,按F8,選擇帶命令行的安全模式。登錄進來後,在CMD方式下,鍵入mmc,將會打開控制檯下,文件/添加刪除管理單元,添加:組策略對象編輯器/本地計算機策略,取消限制。
第四回合:
管理員:一看不行了,還是藉助於基於域的組策略吧。將用戶計算機加入到域,不給用戶本地管理員的口令,要求用戶使用一個域用戶帳號(爲不影響用戶的其它正常應用,可將其加入到客戶機的Power Uers組),並將此域用戶帳號放到一個OU中,鏈接組策略,設置上述限制。
用 戶:手動刪除註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。
CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。
第五回合:
管理員:因爲默認情況下,若用戶手動修改註冊表中的組策略設置值,若策略未變,組策略不負責強制改回。管理員可利用組策略/計算機配置/管理模板/系統/組策略/註冊表策略處理,設置成“即使尚未更改組策略對象也進行處理”,執行強制性的、週期性刷新策略。
用 戶:用戶修改程序文件名,以避開策略的限制(尤其是對非MS的應用程序)。
第六回合:
管理員:設置權限,讓用戶無權修改文件名。
用 戶:利用用鳳凰啓動盤重設本地管理員密碼,以本地管理員登錄進來後,不受上述限制,也可以乾脆脫離域
第七回合:
管理員:在BIOS中禁用光驅並設上BIOS密碼,或物理斷開光驅。
用 戶:打開機箱,跳線清除BIOS密碼,或物理連接上光驅。
…… ……
通過本例大家也看到了,作爲網絡員應當不斷學習,提高自身技術才行。在學習要充分利用Internet這個最廣博的老師,最大的知識庫。