策略的对象可以是计算机、用户或组,策略是的存放位置不是在文件夹中就是放在数据库中,针对域的策略是放在
SYSVOL
的一个文件夹中而本地策略是放在数据库中而本地策略是放在数据库中,放在文件夹中的比较容易修改,找到了策略文件修改其中的字段就可以了,这次我来尝试修改存放在数据库中的策略。试验环境如下所有计算机都在
AD.COM
域中
我们在
BERLIN
的本地策略中禁止域用户和本地用户登陆,策略的位置在
:
计算机配置
windows
设置
本地策略
用户权限分配
拒绝本地登陆的用户中添加两个用户组
来看一下效果无论是
BERLIN
上的本地用户还是域用户都不能登陆了
接下来我们先来说一下我解决思路
1.
远程登陆
BERLIN
2.
找到存放策略的数据库
3.
把数据库中的策略导出修改
4.
把修改好的文件在导入数据库中
5.
覆盖原有的数据库
在计算机管理中连接到
BERLIN
把
BERLIN
的
Telnet
服务打开以便我们远程登陆,服务开启以后我们远程登陆
BERLIN
,策略的存放位置在
C:\Windows\Security\Database
目录下,把
DB
文件拷贝一份,不要在原文件上操作
我们用
Secedit
命令来对数据库进行导入导出,例如可以用
secedit /import
来查看
/import
的参数,我们用
/export
来导出策略
看一下策略有没有导出来,运行
type secedit.inf
接下来修改这个文件里面的策略内容和域策略相差不多,圈中的一行的意思是拒绝交互式登陆,把图中圈起来一行等号后边的删掉
接下来在把这个文件导入到数据库中,运行
secedit /configure /db secedit.sdb /cfg secedit.inf
把修改好的数据库文件复制到原位置
最后在刷新一下策略,
OK
试验完成,登陆成功
转载于:https://blog.51cto.com/renpeng/156467