關於組策略應用的實例那真是三天三夜也說不完因為總共有+多條策略在此僅舉幾例來說明問題有的比較簡單有的稍微復雜一些我們會展開來討論一下需要強調的是作為管理員平時要多看看組策略中具體都有哪些設置當然誰也不可能逐條去實踐去測試但要大概有個印象當有某種需求時你才會想起某條組策略設置來根據印象找到那條策略先看說明標簽再具體實踐逐步積累
前面我們講過安全策略是組策略的子集(一部分)我們會首先討論和安全策略相關的實例然後才是其它的策略
Q普通域用戶無法在DC上登錄?
為了保護域控制器默認能在DC上登錄的用戶只有AdministratorsAccount operatorsBackup operatorsServer operatorsPrint operators這些特定的管理組要想使普通域用戶有權在DC上登錄可以將其加入到這些組中
但更多時候我們不想讓用戶有過多的權利權限也可以在開始/程序/管理工具/域控制器的安全策略/本地策略/用戶權利分配/允許在本地登錄下通過添加指派其在DC上登錄的權利即可
Q在域中添加用戶時總是提示我不符合密碼策略怎麼辦?
對於默認域的安全策略與域不同要求域用戶的口令必須符合復雜性要求且密碼最小長度為口令的復雜性包括三條一是大寫字母小寫字母數字符號四種中必須有種二是密碼最小長度為三是口令中不得包括全部或部分用戶名
我們可以設置復雜一些的密碼也可以重新設默認域的安全策略來解決操作如下
開始/程序/管理工具/域安全策略/帳戶策略/密碼策略
密碼必須符合復雜性要求由已啟用改為已禁用
密碼長度最小值由個字符改為個字符
欲策略設置馬上生效可利用gpupdate進行刷新(具體見前)
如果添加的是本地用戶解決辦法與此相同只不過修改的是本地安全策略
Q在/域中前網管設置了一個開機登陸時的提示頁面已過時現想取消如何操作?
登錄到本機時出現則在管理工具/本地安全策略或開始/運行gpeditmsc中配置若是登錄到域時出現則在管理工具/域的安全策略或AD用戶和計算機/屬性/組策略中配置具體會涉及到安全設置/本地策略/安全選項下的這兩條
交互式登錄用戶試圖登錄時消息標題
交互式登錄用戶試圖登錄時消息文字
Q如何設置不讓用戶修改計算機的配置(如TCP/IP等)?
可以利用本地策略或基於域的組策略鎖定具體操作
本地開始/運行gpeditmsc或
域開始/程序/管理工具/AD用戶和計算機/域名上/右鍵/屬性/組策略/默認域的組策略
在用戶配置/管理模板/網絡/網絡及撥號連接禁止訪問LAN連接的屬性
說明
若利用本地策略實現本地管理員可以重新設置策略解開
若利用域策略實現只是域用戶受此限制本地管理員不受此限制
所以應該不給用戶本地管理員口令讓用戶以非本地管理員/域用戶身份登錄為了保證用戶能安裝軟件或做其它管理工作可將其加入本地的Power Users組
Q非管理員用戶無法登錄到終端服務器?
欲使用戶能利用終端服務客戶端軟件或遠程桌面登錄到/ Server對於S需要在服務器上安裝終端服務對於S只需在即可對於管理員默認即可通過TS登錄進來
非管理員用戶通過終端服務無法登錄除了網絡連接方面的問題以外主要有以下五個方面的原因
終端服務器同時是DC而普通用戶無權在DC上登錄
解決辦法具體見前
安全策略/本地策略/用戶權利分配通過終端服務允許登錄
這是特有的沒有這條安全策略解決辦法
方法一在我的電腦/右鍵/屬性/遠程/遠程桌面下選中允許用戶遠程連接到這台計算機選項後單擊選擇遠程用戶/添加用戶將被自動加入到Remote Desktop Users組而這個組默認有通過終端服務允許登錄的權利
方法二手動將用戶加入到Remote Desktop Users組
方法三手動直接指派用戶通過終端服務允許登錄的權利
注意如果終端服務器同時是DC必須使用方法三原因是為了保護DCDC上的本地安全策略裡只允許Administratrs組有此權利而將Remote Desktop Users組刪掉了
開始/程序/管理工具/終端服務配置/RDPTcp/右鍵/屬性/權限
解決辦法手動將用戶加入到Remote Desktop Users組或確保用戶在此權限下有來賓訪問或用戶訪問的權限
用戶所用帳號口令為空
若終端服務器為用戶使用此服務器上的本地帳號且口令為空通過TS登錄由於本地安全策略/本地策略/安全選項/帳戶使用空白密碼的本地帳戶只允許進行控制台登錄默認啟用這將會阻止用戶登錄解決辦法使用非空密碼或禁用此策略
順便提一下這也是常見的通過網絡訪問XP/上的共享資源不通的原因之一
所用帳號屬性/終端服務配置文件/允許登錄到終端服務器選項
這個選項默認就是選中的除非有人動過解決辦法手動選中即可
Q在(也僅是)中由於禁止本地登錄權利而導致的所有用戶管理員無法登錄
在安全策略/本地策略/用戶權利分配下有兩條策略
拒絕本地登錄默認為未定義
允許在本地登錄其默認值分別為
本地計算機策略AdministratorsBackup OperatorsPower UsersUsers
默認域的策略未定義
默認域控制器的策略AdministratorsAccount OperatorsBackup OperatorsServer OperatorsPrint OperatorsIUSR_dcname
說明如果在同一級別上對同一對象(用戶或組)同時設置了允許和拒絕拒絕權利的優先級別高也就是說二者沖突時拒絕權利生效
假設不小心或干脆有人使壞在拒絕本地登錄上設置了所有人或管理員又或者在允許登錄上把管理員給刪掉了不論哪一種情況都會導致管理員無法登錄出錯提示為此系統的本地策略不允許您采用交互式登錄也就沒辦法將策略設置改回正常了
這種情形看起來像一個解不開的死結要解除禁止本地登錄的組策略設置必須以管理員身份本地登錄要以管理員身份本地登錄就必須先解除禁止本地登錄的組策略設置
問題還是有辦法解決的分別討論如下
一被域策略和域控制器策略所阻止
顯然你應該是被域策略和域控制器策略同時阻止了登錄權利因為
如果只是域策略阻止由於默認域控制器的策略上允許Administrators登錄而域控制器(Domain Controllers)是個OU前面我們講過組策略的LSDOU原則所以管理員可以登錄到DC上把策略改回去
如果只是域控制器的策略阻止它只對DC生效管理員可以在域內的其它計算機上登錄到域把策略改回去
要解決被域策略和域控制器策略同時阻止首先我們來回顧一下前面講過的具體的策略設置值存儲在GPT中位於DC的winnt\sysvol\sysvol中以GUID為文件夾名其中安全設置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmplinf這個安全模板文件中它實質就是一個文本文件可利用記事本進行編輯
說明前面我們介紹過默認域的策略默認域控制器的策略使用固定的GUID分別是
默認域的策略的GUID為BFDDFCFBF
默認域控制器的策略的GUID為ACCFDFCFBF
可以利用C盤的隱含共享C$或winnt\sysvol\sysvol的共享sysvol連過去直接編輯具體操作如下
在另一台聯網的計算機(WinX//XP均可)上使用域管理員賬號連接到DC
利用記事本打開GptTmplinf文件
找到文件中[Privilege Rights]小節下的拒絕本地登錄SeDenyInteractiveLogonRight和允許在本地登錄SeInteractiveLogonRight關鍵字進行編輯即可如
使SeDenyInteractiveLogonRight所等於的值為空
保證SeInteractiveLogonRight= *S……
保存退出
說明
關於各SID所表示的意義參見前面的表格SID前面的*要保留系統執行時才不會其後面的SID當作具體的用戶/組的名字
如果域中不止一台DC為保證DC同步時剛才所做的修改最終生效(原理同授權恢復)需要
()打開winnt\sysvol\sysvol\你的域名\Policies\剛剛所修改策略的 GUID\ GPTINI文件
()找到文件中的[General]小節下的Version手動將其值增大通常是加這是我們修改的這個組策略對象的版本號版本號提高後可以保證我們的更改被復制到其它DC上
()保存退出
重新啟動DC域策略將被刷新
說明也可以在DC上運行secedit /refreshpolicy machine_policy /enforce刷新策略這樣就不必重啟DC了但需要用到telnet細節參考前面telnet命令和接下來的內容
以域管理員身份在DC上正常登錄到域重新設置安全域策略中的相關項目
二被本地安全策略所阻止
很多人都會想到利用MMC遠程管理功能重設目標機的安全策略具體操作如下
開始/運行/MMC/添加/組策略/浏覽/計算機/另一台計算機如果有權限的話你會發現你能找到並管理其它的策略設置但是就是沒有安全策略等項目出現在列表中
這是由於在Windows中不支持對計算機本地策略的安全設置部分進行遠程管理而且本地安全策略設置的實現也與域策略不同它存放在一個二進制的安全數據庫seceditsdb
那麼我們該怎麼辦呢?我們可以使用telnet連接到故障計算機上利用前面我們介紹過secedit命令導出安全設置到安全模板即擴展名為inf的文本文件中利用記事本編輯後再利用secedit命令將修改後的安全設置配置給計算機這樣也就大功告功了但如果故障計算機上的telnet服務沒有啟動那麼我們應該首先把故障計算機上telnet服務啟動起來才能連過去
說明因為telnet服務的啟動類型默認為手動所以正常情況下它是不會啟動的此時連過去的出錯信息為正在連接以xxx不能打開到主機的連接在端口連接失敗
綜上所述具體解決辦法如下
在另一台聯網的計算機(/XP/均可)上修改其管理員密碼使用戶名和口令均與故障計算機上的相同(這主要為了方便若在連接或使用的時候輸入目標計算機上的用戶名和口令也可以)
注銷後重新登錄進來
我的電腦/右鍵/管理打開計算機管理
在計算機管理上/右鍵/連接到另一台計算機故障計算機IP
在服務下找到telnet手動將它啟動起來
接下來使用telnet連接過來
開始/運行cmd鍵入telnet 目標IP
在C:\>提示符下鍵入secedit /export /cfg c:\sectmpinf導出它的當前安全設置
點擊開始/運行\\目標IP\C$雙擊c:\sectmpinf用記事本打開
編輯sectmpinf文件具體同前面情況一的步驟
回到步驟的命令窗口鍵入secedit /configure /db c:\sectmpsdb /CFG c:\sectmpinf將修改後的設置值配置給計算機
運行secedit /refreshpolicy machine_policy /enforce刷新策略這樣就不必故障計算機了
以本地管理員身份在故障計算機上正常登錄到域重新設置安全域策略中的相關項目
最後說明一下對於XP/不存在上述問題微軟已經修正了這個問題用戶不能阻止所有人或管理員登錄在圖形界面下根本設不上使用其它手段強行設上了也不起作用因此大家可以想一想針對上面第一種情況實際上可以加一台XP/到域在XP/上登錄到域將其解開
本例的實際排錯意義並不大但建議大家最好還是能把這個實驗做一下因為它涉及到了很多知識點如基於域安全策略本地安全策略的實施原理組策略及其優先級權利SID還有同名同口令帳戶登錄telnetsecedit工具的使用等等再有大家也可以做一下實驗既然我們能通過網絡解開同樣也能通過網絡設上
QWin/域中默認策略被誤刪如何恢復?
對於Win微軟在下載中心提供了Windows 默認策略還原工具的下載微軟開發這一工具旨在幫助用戶在意外刪除默認策略時能夠重新還原默認缺省域的組策略和默認域控制器的組策略文件請到下列地址下載相應工具
x?FamilyID=bbaebddbbabadd&DisplayLang=en
對於Win微軟提醒用戶不要將其應用於Windows Server 上Win自帶的Dcgpofixexe就可以完成還原任務
需要強調的是作為管理員應及時將組策略的設置進行備份可利用/自帶的備份工具把組策略作為系統狀態的一部分進行備份也可以利用GPMC工具專門備份組策略的設置這樣即使出問題了重新恢復也不用再把組策略重新設置了
Q作為管理員我通過組策略設置了一些限制如不要運行指定的windows應用程序但總有個別用戶在網上能找到破解的辦法我該怎麼辦?
這段話使我想起了關於網絡安全一條名言沒有絕對的安全我個人也覺得在計算機網絡世界裡永遠是高手在蒙低手若水平都很高那麼最終的安全又回到了物理安全設置上(術語叫社會工程)下面以不要運行指定的windows應用程序這條組策略設置的攻防轉換來闡明這個問題
第一回合
管理員通過本地策略限制某用戶運行某些用戶程序如QQ反恐realplay等操作開始/運行鍵入gpeditmsc用戶配置/管理模板/系統/不要運行指定的windows應用程序啟用/顯示/添加上述應用的exe文件名即可
用 戶用戶如果知道管理員怎麼設置的限制同樣的辦法取消限制即可
第二回合
管理員將mmcexe也加入到上述禁止運行列表中使用戶無法打開任何MMC管理控制台
用 戶開始/運行cmd鍵入mmc將會打開控制台下文件/添加刪除管理單元添加組策略對象編輯器/本地計算機策略取消限制
說明用戶在CMD方式下直接鍵入gpeditmsc仍不能運行此解法的知識點來自這條策略的說明標簽
第三回合
管理員將cmdexe也禁止運行
用 戶重新啟動計算機按F選擇帶命令行的安全模式登錄進來後在CMD方式下鍵入mmc將會打開控制台下文件/添加刪除管理單元添加組策略對象編輯器/本地計算機策略取消限制
第四回合
管理員一看不行了還是借助於基於域的組策略吧將用戶計算機加入到域不給用戶本地管理員的口令要求用戶使用一個域用戶帳號(為不影響用戶的其它正常應用可將其加入到客戶機的Power Uers組)並將此域用戶帳號放到一個OU中鏈接組策略設置上述限制
用 戶手動刪除注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序
第五回合
管理員因為默認情況下若用戶手動修改注冊表中的組策略設置值若策略未變組策略不負責強制改回管理員可利用組策略/計算機配置/管理模板/系統/組策略/注冊表策略處理設置成即使尚未更改組策略對象也進行處理執行強制性的周期性刷新策略
用 戶用戶修改程序文件名以避開策略的限制(尤其是對非MS的應用程序)
第六回合
管理員設置權限讓用戶無權修改文件名
用 戶利用用鳳凰啟動盤重設本地管理員密碼以本地管理員登錄進來後不受上述限制也可以干脆脫離域
第七回合
管理員在BIOS中禁用光驅並設上BIOS密碼或物理斷開光驅
用 戶打開機箱跳線清除BIOS密碼或物理連接上光驅
…… ……
通過本例大家也看到了作為網絡員應當不斷學習提高自身技術才行在學習要充分利用Internet這個最廣博的老師最大的知識庫
From:http://tw.wingwit.com/Article/os/xtgl/201311/8796.html
