知识点:命令行下的组策略 —— secedit
组策略是建立Windows安全环境的重要手段,尤其是在Windows域环境下。一个出色的系统管理员,应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc,命令行下用secedit.exe。
secedit命令语法:
secedit /analyze (分析组策略)
secedit /configure (配置组策略)
secedit /export (导出组策略)
secedit /validate (验证模板语法)
secedit /refreshpolicy (更新组策略,在XP/2003下被gpupdate代替)与访问注册表只需reg文件不同的是,访问组策略除了要有个模板文件(还是inf),还需要一个安全数据库文件(sdb)。要修改组策略,必须先将模板导入安全数据库,再通过应用安全数据库来刷新组策略
大体的过程是这样:
-
telnet到远程计算机
-
导出组策略配置
-
修改组策略配置
-
应用新的组策略配置
先找一台同子网的计算机 ,用管理工具来连接远程计算机的管理工具:
启动远程计算机的telnet服务:
telnet到远程计算机,建议把当前计算机管理员密码改成目标计算机一致,这样既可以免去验证过程。
创建一个共享文件夹来存放导出的配置文件:
md test
net share test=c:\test
进入test文件夹,输入secedit /export就可以看到到处配置文件的示例,按照示例,我们输入secedit /export /cfg secedit.inf就可以导出数据库模板文件了。系统默认的安全数据库位于%windir%\security\database\secedit.sdb,这里没有用/db参数指定数据库就是采用默认的。
接下来就可以在test文件夹中看到sec.inf文件了。不过Windows2003 的默认共享是everyone只读哦,所以我们还要用管理工具连接到远程计算机修改它的共享权限,我给了这台远程计算机的管理员一个更改权限:
这样我们就可以通过共享文件夹来修改sec.inf文件了。在sec.inf文件中找到
“SeDenyInteractiveLogonRight”字段,删掉右侧的users组的SID就可以啦
保存后,在telnet会话中输入 secedit /configure /db sec.sdb /cfg sec.inf这条命令的作用是应用新的策略模板,其中/db生成的只是一个临时文件,可以删掉
之后再来试试看登录我们被锁住的计算机,怎么样,锁定解除了吧。
来源:http://struggle.blog.51cto.com/333093/91862/