說明
關於各SID所表示的意義參見前面的表格SID前面的*要保留系統執行時才不會其後面的SID當作具體的用戶/組的名字
如果域中不止一台DC為保證DC同步時剛才所做的修改最終生效(原理同授權恢復)需要
()打開winnt\sysvol\sysvol\你的域名\Policies\剛剛所修改策略的 GUID\ GPTINI文件
()找到文件中的[General]小節下的Version手動將其值增大通常是加這是我們修改的這個組策略對象的版本號版本號提高後可以保證我們的更改被復制到其它DC上
()保存退出
重新啟動DC域策略將被刷新
說明也可以在DC上運行secedit /refreshpolicy machine_policy /enforce刷新策略這樣就不必重啟DC了但需要用到telnet細節參考前面telnet命令和接下來的內容
以域管理員身份在DC上正常登錄到域重新設置安全域策略中的相關項目
二被本地安全策略所阻止
很多人都會想到利用MMC遠程管理功能重設目標機的安全策略具體操作如下
開始/運行/MMC/添加/組策略/浏覽/計算機/另一台計算機如果有權限的話你會發現你能找到並管理其它的策略設置但是就是沒有安全策略等項目出現在列表中
這是由於在Windows中不支持對計算機本地策略的安全設置部分進行遠程管理而且本地安全策略設置的實現也與域策略不同它存放在一個二進制的安全數據庫seceditsdb
那麼我們該怎麼辦呢?我們可以使用telnet連接到故障計算機上利用前面我們介紹過secedit命令導出安全設置到安全模板即擴展名為inf的文本文件中利用記事本編輯後再利用secedit命令將修改後的安全設置配置給計算機這樣也就大功告功了但如果故障計算機上的telnet服務沒有啟動那麼我們應該首先把故障計算機上telnet服務啟動起來才能連過去
說明因為telnet服務的啟動類型默認為手動所以正常情況下它是不會啟動的此時連過去的出錯信息為正在連接以xxx不能打開到主機的連接在端口連接失敗
綜上所述具體解決辦法如下
在另一台聯網的計算機(/XP/均可)上修改其管理員密碼使用戶名和口令均與故障計算機上的相同(這主要為了方便若在連接或使用的時候輸入目標計算機上的用戶名和口令也可以)
注銷後重新登錄進來
我的電腦/右鍵/管理打開計算機管理
在計算機管理上/右鍵/連接到另一台計算機故障計算機IP
在服務下找到telnet手動將它啟動起來
接下來使用telnet連接過來
開始/運行cmd鍵入telnet 目標IP
在C:\>提示符下鍵入secedit /export /cfg c:\sectmpinf導出它的當前安全設置
點擊開始/運行\\目標IP\C$雙擊c:\sectmpinf用記事本打開
編輯sectmpinf文件具體同前面情況一的步驟
回到步驟的命令窗口鍵入secedit /configure /db c:\sectmpsdb /CFG c:\sectmpinf將修改後的設置值配置給計算機
[] [] [] [] [] [] []
From:http://tw.wingwit.com/Article/os/xtgl/201311/10154.html
