当我们不夏新的时候,把活动目录组策略下domain controllers把用户“拒绝本地登录”怎么才鞥揭开呢?我们可以通过远程控制把里面域控制器“windows\SYSVOL\Ssysvol\itet.com\policies\”该成
演示如下:
在“运行”“程序”
→“管理工具”
→“Active Directry 用户和计算机”
→打开“Domain Controllers"
"Domain Controllers"右击 “属性”编辑“Defult Domain Controller Policy"
“计算机配置”→”windonws设置"→"本地策略”→“用户权限分配”右击"拒绝本地" 点击"属性”
“添加用户或组”
添加用户“user”把所有的域用户都无法登录。步骤是:在域控制器上 “开始”→“程序”→“管理程序”→“active directory 用户和计算机”→“计算机配置”→“windows设置”→“安全设置”→“本地设置”→“用户权限设置”→“拒绝本地登录”
把 user或domian user 限制了 就所有的用户都登不上到域控制器了
用另一台客户机远程控制域控制器
用客户机机把域控制器上的telnet服务启动了
在客户机dos窗口上telnet 把文件给导出来要先创建一个共享文件夹来存放导出的配置文件然后,进入itet文件夹,输入secedit /export 就可以看到到处配置文件的示例
这样就把文件给导出来了
不过导出来了后只能读不能改, 我们在改一下 共享文件的权限 改成可以写的
这样我们就可以通过共享文件夹来修改itet
.inf
文件了。在
sitet.inf
文件中找到
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
“
SeDenyInteractiveLogonRight
”字段,删掉右侧的
users
组的
SID
就可以啦
把 *S-1-5-32-545 给删了 就ok了
保存后,在
telnet
会话中输入
secedit /configure /db itet.sdb /cfg itet.inf
这条命令的作用是应用新的策略模板,
我们在在域控制器上在登录 就解除了 锁定了
转载于:https://blog.51cto.com/lixuebin/125931