Category Archives: Windows

微软Windows操作系统

深入理解组策略一:组策略处理流程(转)

Posted on 2013/04/02 by 王 淑娟

以下文章摘自 http://alligator.blog.51cto.com/36993/107174 概述:     组策略是Win2003操作系统提供的一种重要的更新和配置管理技术,用来批量控制计算机和用户的环境,包括控制应用程序、系统设置和管理模板的一种机制。在AD域环境中,通过组策略可以对计算机和用户组进行高效集中化的管理。组策略是AD域环境最有吸引力的基础架构应用之一,正确高效组策略应用可以最大化提高工作效率,节约大量时间和精力。但如果部署了不正确的组策略,排错过程往往会使人抓狂。本文不涉及具体组策略部署方法以及如何排错案例,仅就AD域环境中客户机处理组策略的流程做一详细分析。相信正确理解和掌握组策略内部处理流程,会对组策略部署以及组策略排错有相当大的帮助和参考。   一:简述客户端计算机处理组策略流程     简单的说,客户机应用组策略的流程有以下几个步骤:        1:客户机启动,执行本地安全策略。        2:客户机连接到网络,查询DC获取要应用的GPO列表。        3:客户机根据GPO列表连接到Sysvol文件夹定位对应的组策略模板。        4:客户机根据组策略模板中信息执行相应的操作。        5:计算机策略执行完成后,出现登录界面,用户登录。        6:用户验证通过后,用户查询DC获取要应用的GPO列表。下面执行步骤与计算机执行步骤类似。         客户机组策略处理基本流程如上所述,其中忽略了某些可能性如:环回设置,同步/异步处理,安全组筛选,WMI筛选等,因对基本流程影响不大,此处略过。有兴趣请见后续文章。      上述流程并不复杂,但其中存在一些细节需要深入了解,也是自己当初学习组策略时一直存在的疑问。比如:         1:客户机如何从DC上获取要应用的GPO列表         2:客户机如何可以根据GPO列表,定位到Sysvol文件夹定位对应的组策略模板。         3:客户机如何可以正确的处理每个组策略设置         4:按MS说法,客户机与DC失去联系,客户机会使用本机缓存的组策略,那么组策略本地缓存保存在客户机什么位置?     下面就上述疑问做尽可能的分析,希望能给其他朋友带来参考,因有些结论是实验测试结果,可能会存在某些不当之处,如有异议,欢迎讨论!   二:客户机如何获取应用的GPO列表     我们知道,DC启动时,会向DNS宣告自己的角色,DNS服务器接受宣告后,更新DNS数据库中DC对应的资源记录。客户机登录时会联系DNS服务器,寻找适当的DC进行身份验证。验证通过后,DC告诉客户机所属的站点信息,域信息,以及OU信息。客户机获取到这些信息后,就可以查询到正确的GPO列表。之所以拥有站点,域,OU信息后就可以获取GPO列表信息,主要是因为站点,域和OU对象的gPlink属性中保存有GPO链接信息。     … Continue reading

Posted in Windows | Leave a comment

解开拒绝本地登录的“死结”

Posted on 2013/03/04 by 胡 志明

在Windows 2003环境下,被组策略拒绝本地登录一直是件比较令人头疼的事情。本文将介绍一种所有用户都被拒绝本地登录后的解决方法。   在Windows2003中,如果某个用户被取消了本地登录权限,当这个用户本地登录计算机时,系统就会提示“此系统的本地策略不允许您采用交互式登录”,导致登录失败。遇到这种情况,通常请管理员在组策略中重新设置一下,将该用户从“拒绝本地登录”列表中删除或添加到“在本地登录”列表中即可。但如果因为操作失误或其它方面的原因,我们将所有用户的本地登录权限都禁止了(通常是禁止了users组(非域环境下)或domain users组(域环境下)),那就有点麻烦了。这种情形看起来像一个解不开的“死结”:要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。但实际上,事情并没有我们想象的那么糟。经过查询相关资料和测试,我发现借助网络的帮助,这个“死结”还是可以解开的。因为域安全策略与本地安全策略的数据保存机制不同,下面分两种情况分别进行说明。 被域策略拒绝本地登录时的解决办法   域策略的安全设置部分都保存在一个名为“GptTmpl.inf”的安全模板中,这是一个文本文件,存放在DC(域控制器)的SYSVOL(物理目录指向DC的“c:\winnt\sysvol\sysvol”)共享中。要解除对所有用户本地登录限制,在不能本地登录的情况下,最快捷的办法可能就是直接编辑这个文本文件。   具体操作如下:   1.. 在另一台计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC的SYSVOL共享,在“\\\sysvol\\Policies\GUID>\MACHINE\Microsoft\Windows NT\SecEdit”下找到该文本文件“GptTmpl.inf”。(路径中的“DC name”是你放置该组策略的域控制器的名字,“Domain name”是你的域的名字,“Policy GUID”是你要编辑的组策略的GUID,类似于“{31B2F340-016D-11D2-945F-05C04FB98439}”)。   2.. 使用记事本打开“GptTmpl.inf”文件,找到文件中“PrivilegeRights”小节下的“SeDenyInteractiveLogonRight”关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使“SeDenyInteractiveLogonRight”关键字的值为空。修改完毕将文件保存回原位置。   3.. 使用记事本打开位于“\\\sysvol\name>\Policies\”下的“GPT.INI”文件,提高“General”小节下的“Version”关键字的值,通常是加1000。这是我们修改的这个组策略的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。修改完毕将文件保存回原位置。   4.. 域策略刷新后,问题即告解决。   5.. 本地登录DC重新设置域策略中的相关项目 。 被本地安全策略拒绝本地登录时的解决办法   解决被本地安全策略拒绝本地登录的最正统的方法,应该是使用另一台Windows2000计算机,使用组策略MMC管理单元通过网络连接到故障计算机的本地安全策略,然后进行修改。但我测试后发现,使用这种方法成功的机率非常小(具体的原因也不十分的明了),不是连接不上故障计算机,就是打不开故障计算机上本地安全策略的安全设置。因此我们还需要一个更稳妥些的解决方法。   本地安全策略的安全设置通常存放在一个二进制的安全数据库secedit.sdb中,这个安全数据库的结构我们无从知道,因此象第一部分那样直接编辑secedit.sdb文件的办法是无能为力了,我们需要采用迂回进攻的策略,“曲线救国”。   具体操作如下:   1.. 假设故障计算机的IP地址是”192.168.0.111″。在另一台计算机(Windows9X/2000/XP均可)上,使用“Telnet 192.168.0.111”命令使用管理员账号连 接到故障计算机。(如果故障计算机的“telnet”服务没有启动,可以通过网络启动,具体方法不在详述)   2.. 通过telnet在故障计算机上执行“net share tmp$=d:\tmp”命令,将故障计算机上的“d:\tmp”隐藏共享为“tmp$”,共享权限缺省是everyone完全控制(此时要特别注意网络安全)。当然你也可以共享其它的目录。   3.. 通过telnet在故障计算机上执行“secedit /export /CFG d:\tmp\sec.inf”命令,将故障计算机的本地安全策略配置导入“d:\tmp\sec.inf”安全模板文件中,这是一个文本文件。   4.. … Continue reading

Posted in Windows, 操作系统 | Tagged , , | Leave a comment

windows路由 筛选器

Posted on 2012/12/27 by 王 淑娟

在高级课程当中有个内容是关于筛选器的,路由器两边分别接192.168.1.0和39.1.1.0网段,要求从192.168.1.0ping不通39.1.1.1,但是选择完ICMP别的什么也不做的话,就会造成一个结果就是两端互相ping不通。这样做并没有完全贴合题意  其实筛选器设置 应该如下 应选择 ICMP类型为8 代码为0 这样从192.168.1.0是ping不通39.1.1.1的,但从39.1.1.1可以ping的通192.168.1.0 如果筛选器的ICMP类型为0代码也为0,则试验结果刚好相反 其实你可以设置筛选为http,则可以选择tcp中的目标端口为80,源端口留空或写0则会自动为任何,来验证筛选器的作用

Posted in Windows, 教学答疑 | Leave a comment