Q18、如何清理AD 數(shù)據(jù)庫中的垃圾對象。如果我們非正常卸載AD 子域、DC 等，就會在AD 元數(shù)據(jù)庫中留下垃圾。比如上面的例子，又比如未經(jīng)AD 卸載就把DC 計算機的系統(tǒng)重做了。這些垃圾對象一般來講

Q18、如何清理AD 數(shù)據(jù)庫中的垃圾對象。

如果我們非正常卸載AD 子域、DC 等，就會在AD 元數(shù)據(jù)庫中留下垃圾。比如上面的例子，又比如未經(jīng)AD 卸載就把DC 計算機的系統(tǒng)重做了。這些垃圾對象一般來講無礙大局，但如果我們想優(yōu)化AD 的性能，不想給用戶帶來不必要的麻煩（比如用戶選擇登錄到已經(jīng)不存在的子域），就可以利用ntdsutil 工具進行元數(shù)據(jù)庫清理（metadata cleanup），來刪除垃圾對象。具體操作如下：

1、開始/運行：cmd ，在命令行下鍵入ntdsutil 。

說明：

（1）直接，開始/運行：ntdsutil ，也可以。

（2）進行元數(shù)據(jù)庫清理，不要進到目錄恢復模式下。

（3）進行元數(shù)據(jù)庫清理，可以在非DC 的2000/XP/03計算機上進行。但有些操作（如使用ntdsutil 工具進行授權(quán)恢復、整理移動AD 庫文件）必須在DC 上進行。

（4）在ntdsutil 的每級菜單下都可以通過鍵入：？或HELP ，查看本級菜單下可用的命令。

2、在ntdsutil:提示符下，鍵入metadata cleanup，然后按ENTER 。

說明：ntdsutil 是個分層的多級命令行工具，用戶在鍵入名字時，可簡寫，只要不同于本級命令中的其它命令即可。比如上面的命令metadata cleanup可簡寫為m c。

3、在metadata cleanup:提示符下，鍵入connections ，然后按ENTER 。

4、在server connections:提示符下，鍵入connect to server servername ，然后按ENTER 。 說明：

（1）其中servername 是指域控制器的DNS 名稱，用主機名或FQDN 均可。注意：雖然聯(lián)機說明中提到了可以用IP 去連，但實際上發(fā)現(xiàn)用IP 去連接，會出現(xiàn)參數(shù)不正確的出錯提示。

（2）在這里要連接的DC ，應是一個正常工作的、可操作的DC ，而不是你要清理的那個DC 對象。

5、鍵入quit ，然后按ENTER 回到metadata cleanup:提示符。

6、鍵入select operation target，然后按ENTER 。

7、鍵入list domains，然后按ENTER 。

說明：此操作將列出林中的所有域，每一域附帶與其相關(guān)聯(lián)的一個數(shù)字。

8、鍵入select domain number ，然后按ENTER 。

說明：其中number 是與故障服務器所在的域相關(guān)的數(shù)字。

9、鍵入list sites，然后按ENTER 。

10、鍵入select site number ，然后按ENTER 。

說明：其中number 是指域控制器所屬的站點號碼。

11、鍵入list servers in site，然后按ENTER 。

說明：這將列出站點上所有服務器，每一服務器附帶一個相關(guān)的數(shù)字。

12、鍵入select server number ，然后按ENTER 。

說明：其中number 是指要刪除的域控制器。

13、鍵入qui t ，然后按ENTER ，退回到Metadata cleanup菜單。

接下來，根據(jù)需要，刪除相應的垃圾對象：

14、鍵入remove selected server，然后按ENTER 。

此時，Active Directory確認域控制器已成功刪除。若收到無法找到對象的錯誤報告，Active Directory可能已刪除了域控制器。

15、或者鍵入remove selected domain，然后按ENTER 。

說明：要想刪除域，必須得先刪除這個域的server 對象（實質(zhì)是DC ）才行。

16、鍵入qui t 然后按ENTER 直至回到命令符。

如果清理的是Server 對象，還需要：1、到Active Directory站點和服務上，展開適當站點，刪除相應Server 對象。2、到Active Directory用戶和計算機上，雙擊打開Domain Controllers這個OU ，刪除相應的DC

對象。

如果清理的是Domain 對象，還需要到Active Directory域和信任關(guān)系上，刪除相應的已經(jīng)沒有用的信任關(guān)系。否則該域名還會出現(xiàn)在登錄的域列表。

在實際操作中，必須先做元數(shù)據(jù)清理，然后再到相應的管理工具中刪除相應的對象。若是直接到管理工具中去刪，系統(tǒng)將不允許刪除。

Q19、欲替換域中唯一的一臺DC ，如何傳送五種主控和轉(zhuǎn)移GC 。

一、傳送五種主控

操作：

1、安裝第二臺DC （假設(shè)為DC2，原來的為DC1），

2、到相應的管理工具（具體見前）下，右鍵連接到域控制器：DC2，

3、右鍵/操作主機/相應標簽下，點擊更改即可。

說明：

1、其實在圖形界面下，操作很簡單，關(guān)鍵看能不能成功。

2、目標都在下面，只有架構(gòu)的特殊，目標在上面。

3、如果DC 都是最近安裝的，極易成功。如果是運行了一段時間的，就不好說了。但我估計你的成功率應在九成以上，因為一般網(wǎng)管都不太動這個。

4、傳送結(jié)構(gòu)主控時，若目標已是GC ，會提示出錯?？梢圆焕頃?，繼續(xù)。因為結(jié)構(gòu)主控負責：更新外部對象的索引（組成員資格），不應該和GC 在同一個DC 上，應手動移走，否則將不起作用。而單域不需要基礎(chǔ)結(jié)構(gòu)主控非得有效，我們一般平常用的都是單域，默認基礎(chǔ)結(jié)構(gòu)主控就和GC 在一起，不起作用。

5、若傳送不成功，不要著急，等5分鐘~2小時不等，你什么都沒做，再試可能就成功了?？梢岳肁D 站點和服務/站點/默認的第一個站點名/SERVER/DC/ntds setting/AD連接/右鍵/立即復制副本，來強制AD 馬上復制。但有時候，僅依賴于此，還是不行，還得等。

6、至于把老DC 從AD 中去除，在開始/運行/DCPROMO，卸載AD 。不要選“這是域中最后一臺DC ”，若能成功卸載，就一切OK 了。如不成功，可以直接把原DC 廢掉重裝。AD 中會有原DC 的垃圾對象，也不影響什么。若非要清干凈，參見前例。

7、如果原角色DC 已經(jīng)無法訪問，就只能進行強制傳送了，也就是查封（seize ）。查封的實質(zhì)就是強行推出新的主控，會有數(shù)據(jù)的丟失。在圖形界面下會有提示：原主控無法聯(lián)系，是否強行傳送。選擇“是”，進行的就是查封操作。

8、利用ntdsutil 工具roles 下transfer 命令和seize 命令也可以實現(xiàn)上述操作。實驗中發(fā)現(xiàn)，無論是用transfer 還是seize ，關(guān)鍵看是否能連接到原主控。連接下情況，就是傳送；不連接情況下就是查封。如：在連接情況下，使用查封（seize ）命令，操作的結(jié)果仍是傳送：原主控不再是主控，目標成為新的主控。

二、轉(zhuǎn)移GC

GC 不具有唯一性，可在AD 站點和服務中，將DC2設(shè)為GC 。操作如下：

1、在Default-First-Site-Name/servers/dc2/NTDS Settings/右鍵/屬性。

2、選中“全局編錄”。

3、你會看到在選項下面的說明：發(fā)布全局目錄所需要的時間取決您使用的復制拓撲。

說明：不要急于把DC1斷開，應等待足夠長的時間，局域網(wǎng)環(huán)境一般也就是幾分鐘。是否將GC 的內(nèi)容成功傳送，可在DC2上查看注冊表

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters下是否有這樣一條：Global Catalog Promotion Complete=1。若未傳送完，沒有這一條。

Q20、如何進行AD 的備份與恢復

最好的辦法是作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分，利用2000/03自帶的備份工具來進行備份/恢復。備份工具位于：開始/程序/附件/系統(tǒng)工具下。利用備份/恢復系統(tǒng)狀態(tài)數(shù)據(jù)，可以恢復之前的域用戶帳戶數(shù)據(jù)和DNS ，以及安全設(shè)置、組策略設(shè)置、還有配置等等。但DHCP 、WINS 等需要單獨備份。

說明：

1、 DNS 區(qū)域必須為AD 集成區(qū)域，如果不是，在備份之前，將標準主區(qū)域轉(zhuǎn)成AD 集成區(qū)域即可。因為AD 集成的意思就是：將DNS 區(qū)域信息，作為AD 的一部分進行存儲、復制。

2、

管理工具下有關(guān)AD 和域的管理工具的快捷方式不會被恢復(03仍未解決這個問題），可以運行2000S 光盤I386?minpak.msi，將所有的域管理工具追加上。也可手動開始/運行/MMC，添加相應的管理工具，如DNS 、AD 用戶和計算機等。

3、

重裝的2000/03系統(tǒng)，不必安裝AD ，直接恢復就行。開機，F(xiàn)8，目錄恢復模式，恢復大約需要4-5分鐘。（實際當中我也試了，新裝的系統(tǒng)，沒有安裝AD ，在正常啟動模式下恢復也可以，因為它根本沒有AD ，不涉及到AD 正在工作，不允許替換的問題，只不過時間會稍長一些，約7-8分鐘）

4、 2000下利用備份工具恢復系統(tǒng)狀態(tài)數(shù)據(jù)時，需要手動將“如果文件已存在：不替換”改為“如果文件已存在，總是替換”。

具體操作：工具/選項/還原：選擇“無條件替換本地上的文件”。否則2000在恢復時，可能不會把

winntsysvolsysvol（里面是組策略具體的設(shè)置值，被稱為GPT ）給恢復回來。03DC 上沒有這個問題，系統(tǒng)會自動提示是否替換，選擇“是”即可。

5、具體備份/恢復的步驟，參考下例。

Q21、如何進行授權(quán)恢復

首先我們通過一個例子，來說明一下什么是授權(quán)恢復。

設(shè)域內(nèi)有不止一臺DC ，管理員誤刪除了一個OU ，然后用以前的AD 備份進行了恢復操作。如果不做什么特別的設(shè)置（即授權(quán)恢復），當DC 間進行AD 同步時，由被恢復的數(shù)據(jù)是以前的，AD 的版本號低，將被其它DC 的高版本內(nèi)容所覆蓋。這樣剛被恢復的OU 就又被刪掉了。

所以我們需要手動通過ntdsutil 工具指定對這個OU 對象進行授權(quán)恢復，系統(tǒng)將按距備份時間每隔一天100000的標準來增加其AD 版本號，確保一定高于其它DC 上的版本號。

具體操作如下：

1、重啟DC ，按F8，選擇目錄恢復模式

2、用目錄恢復模式下的管理員SAM 帳號登錄

3、開始/程序/附件/系統(tǒng)工具/備份，在恢復標簽下進行“系統(tǒng)狀態(tài)數(shù)據(jù)”的恢復

4、若此時重新啟動DC ，則以上為正?；謴停捶鞘跈?quán)恢復。

若要進行授權(quán)恢復，則此時一定不要重啟DC

4、開始/運行：ntdsutil

5、鍵入authoritative restore，到授權(quán)恢復提示符

6、鍵入restore subtree對象DN （也可以是子樹，甚至是整個AD ）

7、退出Ntdsutil

8、重新正常啟動DC 。

說明：若要進行系統(tǒng)卷SYSVOL （主要是組策略設(shè)置）的授權(quán)恢復，即將組策略恢復到以前的狀態(tài)，但AD 庫要保留當前。不必使用Ntdsutil ，直接將AD 庫恢復到其它位置即可，這是因為系統(tǒng)狀態(tài)數(shù)據(jù)在備份/恢復時，不能進行細化的選擇。

Q22、如何移動、整理AD 數(shù)據(jù)庫？

一、移動AD 數(shù)據(jù)庫

將Ntds.dit 數(shù)據(jù)文件移動到指定的新目錄中并更新注冊表，使得在系統(tǒng)重新啟動時，目錄服務使用新的位置。系統(tǒng)為了安全起見，并不刪除原來的數(shù)據(jù)庫。具體操作如下：

1、為了以防萬一，最好備份AD 。

2、重啟DC ，按F8，選擇目錄恢復模式

3、用目錄恢復模式下的管理員SAM 帳號登錄

4、開始/運行：ntdsutil

5、輸入files ，切換到文件提示符files>下

6、輸入move DB to c: folder

7、移動Ntds.dit 成功提示。

8、輸入quit 二次，退出

9、重新正常啟動DC

二、整理AD 數(shù)據(jù)庫

將調(diào)用Esentutl.exe 以壓縮現(xiàn)有的AD 庫文件，并將壓縮后的AD 庫文件寫入到指定文件夾中。壓縮完成之后，將保留原來的AD 庫文件，將新的壓縮后的AD 庫文件保存到到該文件的原來位置。

另外順便說明一下，ESENT 也支持聯(lián)機壓縮，目錄服務定期（默認12小時）調(diào)用聯(lián)機壓縮，但聯(lián)機壓縮只是重新安排數(shù)據(jù)文件內(nèi)的頁面，并不能象手動壓縮這樣：將空間釋放回文件系統(tǒng)。

整理AD 數(shù)據(jù)庫具體步驟如下：

1-5步，與前面相同。

6、輸入compact to c:folder

7、顯示整理碎片，直至完成。

8、輸入quit ，退出。

9、對于2000需要：復制新的NTDS.DIT 文件覆蓋舊的NTDS.DIT 文件

10、重新正常啟動DC2-3-4組策略應用相關(guān)實例

關(guān)于組策略應用的實例，那真是三天三夜也說不完，因為總共有600 200多條策略。在此僅舉幾例，來說明問題。有的比較簡單，有的稍微復雜一些，我們會展開來討論一下。需要強調(diào)的是，作為管理員平時要多看看組策略中具體都有哪些設(shè)置，當然誰也不可能逐條去實踐去測試，但要大概有個印象。當有某種需求時，你才會想起某條組策略設(shè)置來，根據(jù)印象找到那條策略，先看說明標簽，再具體實踐，逐步積累。

前面我們講過安全策略是組策略的子集（一部分），我們會首先討論和安全策略相關(guān)的實例，然后才是其它的策略。

Q1、普通域用戶無法在DC 上登錄？

為了保護域控制器，默認能在DC 上登錄的用戶只有：Administrators 、Account operators、Backup operators 、Server operators、Print operators這些特定的管理組。要想使普通域用戶有權(quán)在DC 上登錄，可以將其加入到這些組中。

但更多時候，我們不想讓用戶有過多的權(quán)利權(quán)限，也可以在開始/程序/管理工具/域控制器的安全策略/本地策略/用戶權(quán)利分配/允許在本地登錄下通過添加，指派其在DC 上登錄的權(quán)利即可。

Q2、在03域中添加用戶時，總是提示我不符合密碼策略，怎么辦？

對于03，默認域的安全策略與2000域不同。要求域用戶的口令必須符合復雜性要求，且密碼最小長度為7。口令的復雜性包括三條：一是大寫字母、小寫字母、數(shù)字、符號四種中必須有3種，二是密碼最小長度為6，三是口令中不得包括全部或部分用戶名。

我們可以設(shè)置復雜一些的密碼，也可以重新設(shè)默認域的安全策略來解決。操作如下：

開始/程序/管理工具/域安全策略/帳戶策略/密碼策略：

¨ 密碼必須符合復雜性要求：由“已啟用”改為“已禁用”；

¨ 密碼長度最小值：由“7個字符”改為“0個字符”。

欲策略設(shè)置馬上生效，可利用gpupdate 進行刷新。（具體見前）

如果添加的是本地用戶，解決辦法與此相同，只不過修改的是本地安全策略。

Q3、在2000/03域中，前網(wǎng)管設(shè)置了一個開機登陸時的提示頁面，已過時，現(xiàn)想取消，如何操作？

登錄到本機時出現(xiàn)，則在管理工具/本地安全策略，或開始/運行：gpedit.msc 中配置。若是登錄到域時出現(xiàn)，則在管理工具/域的安全策略，或AD 用戶和計算機/屬性/組策略中配置。具體會涉及到：安全設(shè)置/本地策略/安全選項下的這兩條，

¨ 交互式登錄：用戶試圖登錄時消息標題

¨ 交互式登錄：用戶試圖登錄時消息文字

Q4、如何設(shè)置不讓用戶修改計算機的配置（如TCP/IP等）？

可以利用本地策略或基于域的組策略鎖定，具體操作：

1、

本地：開始/運行：gpedit.msc ?；?/p>

2、

域：開始/程序/管理工具/AD用戶和計算機/域名上/右鍵/屬性/組策略/默認域的組策略

3、在用戶配置/管理模板/網(wǎng)絡(luò)/網(wǎng)絡(luò)及撥號連接：禁止訪問LAN 連接的屬性。

說明：

1、

若利用本地策略實現(xiàn)，本地管理員，可以重新設(shè)置策略解開。

2、

若利用域策略實現(xiàn)，只是域用戶受此限制。本地管理員，不受此限制。

所以應該不給用戶本地管理員口令，讓用戶以非本地管理員/域用戶身份登錄。為了保證用戶能安裝軟件或做其它管理工作，可將其加入本地的Power Users組。

Q5、非管理員用戶無法登錄到終端服務器？

欲使用戶能利用“終端服務客戶端軟件”或“遠程桌面”登錄到2000/03 Server，對于2000S 需要在服務器上安裝終端服務，對于03S 只需在我的電腦/右鍵/屬性/遠程/遠程桌面下，選中“允許用戶遠程連接到這臺計算機”即可。對于管理員默認即可通過TS 登錄進來。

非管理員用戶通過終端服務無法登錄，除了網(wǎng)絡(luò)連接方面的問題以外，主要有以下五個方面的原因：

1、終端服務器同時是DC ，而普通用戶無權(quán)在DC 上登錄。

解決辦法：具體見前。

2、安全策略/本地策略/用戶權(quán)利分配：通過終端服務允許登錄。

這是03特有的，2000沒有這條安全策略。解決辦法，

方法一、在我的電腦/右鍵/屬性/遠程/遠程桌面下，選中“允許用戶遠程連接到這臺計算機”選項后，單擊“選擇遠程用戶”/添加。用戶將被自動加入到Remote Desktop Users組，而這個組默認有“通過終端服務允許登錄”的權(quán)利。

方法二、手動將用戶加入到Remote Desktop Users組

方法三、手動直接指派用戶“通過終端服務允許登錄”的權(quán)利

注意：如果終端服務器同時是DC ，必須使用方法三。原因是為了保護DC ，DC 上的本地安全策略里，只允許Administratrs 組有此權(quán)利，而將Remote Desktop Users組刪掉了。

3、開始/程序/管理工具/終端服務配置/RDP-Tcp/右鍵/屬性/權(quán)限。

解決辦法：手動將用戶加入到Remote Desktop Users組，或確保用戶在此權(quán)限下有來賓訪問或用戶訪問的權(quán)限。

4、用戶所用帳號口令為空。

若終端服務器為03，用戶使用此服務器上的本地帳號、且口令為空，通過TS 登錄。由于03本地安全策略/本地策略/安全選項/帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄，默認啟用，這將會阻止用戶登錄。解決辦法：使用非空密碼或禁用此策略。

順便提一下，這也是常見的通過網(wǎng)絡(luò)訪問XP/03上的共享資源，不通的原因之一。

5、所用帳號屬性/終端服務配置文件/“允許登錄到終端服務器”選項。

這個選項，默認就是選中的，除非有人動過。解決辦法：手動選中即可。

6、還有兩種可能：

（1）2000：未安裝TS 服務；03：未啟用遠程桌面

（2）03：啟用了ICF ，但未設(shè)允許RDP 進入

Q6、在2000（也僅是2000）中由于禁止本地登錄權(quán)利而導致的所有用戶、管理員無法登錄。

在安全策略/本地策略/用戶權(quán)利分配下有兩條策略：

¨ 拒絕本地登錄，默認為“未定義”。

¨ 允許在本地登錄，其默認值分別為：

u 本地計算機策略：Administrators 、Backup Operators、Power Users、Users

u 默認域的策略：未定義

u 默認域控制器的策略：Administrators 、Account Operators、Backup Operators、Server Operators 、Print Operators、IUSR_dcname

說明：如果在同一級別上、對同一對象（用戶或組）、同時設(shè)置了“允許”和“拒絕”，“拒絕”權(quán)利的優(yōu)先級別高。也就是說二者沖突時，“拒絕”權(quán)利生效。

假設(shè)不小心或干脆有人使壞在拒絕本地登錄上設(shè)置了所有人或管理員，又或者在允許登錄上把管理員給刪掉了。不論哪一種情況都會導致管理員無法登錄，出錯提示為：“此系統(tǒng)的本地策略不允許您采用交互式登錄”，也就沒辦法將策略設(shè)置改回正常了。

這種情形看起來像一個解不開的" 死結(jié)" ：要解除禁止本地登錄的組策略設(shè)置，必須以管理員身份本地登錄；要以管理員身份本地登錄，就必須先解除禁止本地登錄的組策略設(shè)置。

問題還是有辦法解決的，分別討論如下：

一、被域策略和域控制器策略所阻止

顯然你應該是被域策略和域控制器策略同時阻止了登錄權(quán)利，因為：

1、如果只是域策略阻止，由于默認域控制器的策略上允許Administrators 登錄，而域控制器（Domain Controllers ）是個OU ，前面我們講過組策略的LSDOU 原則，所以管理員可以登錄到DC 上，把策略改回去。

2、如果只是域控制器的策略阻止，它只對DC 生效。管理員可以在域內(nèi)的其它計算機上登錄到域，把策略改回去。

要解決被域策略和域控制器策略同時阻止，首先我們來回顧一下前面講過的“具體的策略設(shè)置值存儲在GPT 中，位于DC 的winntsysvolsysvol中，以GUID 為文件夾名?！逼渲邪踩O(shè)置部分保存在DC 的

winntsysvolsysvol你的域名Policies策略的GUIDMACHINEMicrosoftWindows

NTSecEditGptTmpl.inf這個安全模板文件中。它實質(zhì)就是一個文本文件，可利用記事本進行編輯。 說明：前面我們介紹過，默認域的策略、默認域控制器的策略使用固定的GUID ，分別是：

¨ 默認域的策略的GUID 為31B2F340-016D-11D2-945F-00C04FB984F9

¨ 默認域控制器的策略的GUID 為6AC1786C-016F-11D2-945F-00C04FB984F9。

可以利用C 盤的隱含共享C$，或winntsysvolsysvol的共享sysvol 連過去，直接編輯，具體操作如下：

1、在另一臺聯(lián)網(wǎng)的計算機（Win9X/2000/XP均可）上，使用域管理員賬號連接到DC 。

2、利用記事本打開GptT mpl.inf 文件。

3、找到文件中[Privilege Rights]小節(jié)下的拒絕本地登錄“SeDenyInteractiveLogonRight ”和允許在本地登錄“SeInteractiveLogonRight ”關(guān)鍵字，進行編輯即可。如：

¨ 使SeDenyInteractiveLogonRight 所等于的值為空。

¨ 保證SeInteractiveLogonRight= *S-1-5-32-544，……

4、保存退出。

說明：

1、關(guān)于各SID 所表示的意義，參見前面的表格。SID 前面的*要保留，系統(tǒng)執(zhí)行時才不會其后面的SID 當作具體的用戶/組的名字。

2、如果域中不止一臺DC ，為保證DC 同步時剛才所做的修改最終生效（原理同授權(quán)恢復），需要：

（1）打開winntsysvolsysvol你的域名Policies剛剛所修改策略的GUID GPT.INI文件

（2）找到文件中的[General]小節(jié)下的“Version ”，手動將其值增大，通常是加10000。這是我們修改的這個組策略對象的版本號，版本號提高后可以保證我們的更改被復制到其它DC 上。

（3）保存退出。

5、重新啟動DC ，域策略將被刷新。

說明：也可以在DC 上運行secedit /refreshpolicy machine_policy /enforce刷新策略，這樣就不必重啟DC 了。但需要用到telnet ，細節(jié)參考前面telnet 命令和接下來的內(nèi)容。

6、以域管理員身份在DC 上正常登錄到域，重新設(shè)置安全域策略中的相關(guān)項目。

二、被本地安全策略所阻止

很多人都會想到利用MMC 遠程管理功能，重設(shè)目標機的安全策略。具體操作如下：

開始/運行/MMC/添加/組策略/瀏覽/計算機/另一臺計算機，如果有權(quán)限的話，你會發(fā)現(xiàn)你能找到并管理其它的策略設(shè)置，但是就是沒有安全策略等項目出現(xiàn)在列表中。

這是由于在Windows2000中，不支持對計算機本地策略的安全設(shè)置部分進行遠程管理。而且本地安全策略設(shè)置的實現(xiàn)也與域策略不同，它存放在一個二進制的安全數(shù)據(jù)庫secedit.sdb 。

那么我們該怎么辦呢？我們可以使用telnet 連接到故障計算機上，利用前面我們介紹過secedit 命令導出安全設(shè)置到安全模板，即擴展名為.inf 的文本文件中。利用記事本編輯后，再利用secedit 命令將修改后的安全設(shè)置配置給計算機，這樣也就大功告功了。但如果故障計算機上的telnet 服務沒有啟動，那么我們應該首先把故障計算機上telnet 服務啟動起來，才能連過去。

說明：因為telnet 服務的啟動類型，默認為手動，所以正常情況下它是不會啟動的。此時連過去的出錯信息為：正在連接以xxx 不能打開到主機的連接，在端口23：連接失敗。

綜上所述，具體解決辦法如下：

1、在另一臺聯(lián)網(wǎng)的計算機（2000/XP/03均可）上，修改其管理員密碼，使用戶名和口令均與故障計算機上的相同。（這主要為了方便，若在連接或使用的時候輸入目標計算機上的用戶名和口令，也可以）

2、注銷后，重新登錄進來。

3、我的電腦/右鍵/管理，打開計算機管理。

4、在計算機管理上/右鍵/連接到另一臺計算機：故障計算機IP 。

5、在服務下找到telnet ，手動將它啟動起來。

接下來使用telnet 連接過來

6、開始/運行：cmd ，鍵入telnet 目標IP

7、在C:>提示符下，鍵入secedit /export /cfg c:sectmp.inf，導出它的當前安全設(shè)置。

8、點擊開始/運行：目標IPC$，雙擊c:sectmp.inf，用記事本打開。

9、編輯sectmp.inf 文件，具體同前面情況一的步驟3

10、回到步驟7的命令窗口，鍵入secedit /configure /db c:sectmp.sdb /CFG c:sectmp.inf將修改后的設(shè)置值，配置給計算機。

11、運行secedit /refreshpolicy machine_policy /enforce刷新策略，這樣就不必故障計算機了。

12、以本地管理員身份在故障計算機上正常登錄到域，重新設(shè)置安全域策略中的相關(guān)項目。

最后說明一下：對于XP/03不存在上述問題，微軟已經(jīng)修正了這個問題。用戶不能阻止所有人或管理員登錄，在圖形界面下根本設(shè)不上；使用其它手段強行設(shè)上了也不起作用。因此大家可以想一想，針對上面第一種情況，實際上可以加一臺XP/03到2000域，在XP/03上登錄到域，將其解開。

本例的實際排錯意義并不大，但建議大家最好還是能把這個實驗做一下，因為它涉及到了很多知識點，如：基于域安全策略、本地安全策略的實施原理，組策略及其優(yōu)先級，權(quán)利、SID ，還有同名同口令帳戶登錄、telnet 、secedit 工具的使用等等。再有大家也可以做一下實驗，既然我們能通過網(wǎng)絡(luò)解開，同樣也能通過網(wǎng)絡(luò)設(shè)上。 Q7、Win2000/03域中默認策略被誤刪，如何恢復？

對于Win2000，微軟在“下載中心”提供了Windows 2000默認策略還原工具的下載。微軟開發(fā)這一工具旨在幫助用戶在意外刪除默認策略時，能夠重新還原“默認缺省域的組策略”和“默認域控制器的組策略”文件。請到下列地址下載相應工具：

對于Win03, 微軟提醒用戶不要將其應用于Windows Server 2003上。Win03自帶的Dcgpofix.exe 就可以完成還原任務。

需要強調(diào)的是：作為管理員應及時將組策略的設(shè)置進行備份?？衫?000/03自帶的備份工具，把組策略作為系統(tǒng)狀態(tài)的一部分進行備份。也可以利用GPMC 工具專門備份組策略的設(shè)置。這樣即使出問題了，重新恢復，也不用再把組策略重新設(shè)置了。

Q8、作為管理員，我通過組策略設(shè)置了一些限制，如“不要運行指定的windows 應用程序”，但總有個別用戶在網(wǎng)上能找到破解的辦法，我該怎么辦？

這段話使我想起了關(guān)于網(wǎng)絡(luò)安全一條名言：沒有絕對的安全。我個人也覺得在計算機網(wǎng)絡(luò)世界里，永遠是高手在蒙低手。若水平都很高，那么最終的安全又回到了物理安全設(shè)置上（術(shù)語叫：社會工程）。下面以“不要運行指定的windows 應用程序”這條組策略設(shè)置的攻防轉(zhuǎn)換，來闡明這個問題

第一回合：

管理員：通過本地策略限制某用戶運行某些用戶程序，如QQ 、反恐、realplay 等。操作：開始/運行，鍵入gpedit.msc ，用戶配置/管理模板/系統(tǒng)/不要運行指定的windows 應用程序，啟用／顯示／添加：上述應用的.exe 文件名即可。

用 戶：用戶如果知道管理員怎么設(shè)置的限制，同樣的辦法取消限制即可。

第二回合：

管理員：將mmc.exe 也加入到上述禁止運行列表中，使用戶無法打開任何MMC 管理控制臺。

用 戶：開始/運行：cmd ，鍵入mmc ，將會打開控制臺下，文件/添加刪除管理單元，添加：組策略對象編輯器/本地計算機策略，取消限制。

說明：用戶在CMD 方式下，直接鍵入gpedit.msc 仍不能運行。此解法的知識點來自這條策略的說明標簽。 第三回合：

管理員：將cmd.exe 也禁止運行

用 戶：重新啟動計算機，按F8，選擇帶命令行的安全模式。登錄進來后，在CMD 方式下，鍵入mmc ，將會打開控制臺下，文件/添加刪除管理單元，添加：組策略對象編輯器/本地計算機策略，取消限制。 第四回合：

管理員：一看不行了，還是借助于基于域的組策略吧。將用戶計算機加入到域，不給用戶本地管理員的口令，要求用戶使用一個域用戶帳號（為不影響用戶的其它正常應用，可將其加入到客戶機的Power Uers組），并將此域用戶帳號放到一個OU 中，鏈接組策略，設(shè)置上述限制。

用 戶：手動刪除注冊表HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionPoliciesExplorerDisallowRun下的被禁用的程序。

第五回合：

管理員：因為默認情況下，若用戶手動修改注冊表中的組策略設(shè)置值，若策略未變，組策略不負責強制改回。管理員可利用組策略／計算機配置／管理模板／系統(tǒng)／組策略／注冊表策略處理，設(shè)置成“即使尚未更改組策略對象也進行處理”，執(zhí)行強制性的、周期性刷新策略。

用 戶：用戶修改程序文件名，以避開策略的限制（尤其是對非MS 的應用程序）。

第六回合：

管理員：設(shè)置權(quán)限，讓用戶無權(quán)修改文件名。

用

戶：利用用鳳凰啟動盤重設(shè)本地管理員密碼，以本地管理員登錄進來后，不受上述限制，也可以干脆脫離域 第七回合：

管理員：在BIOS 中禁用光驅(qū)并設(shè)上BIOS 密碼，或物理斷開光驅(qū)。

用 戶：打開機箱，跳線清除BIOS 密碼，或物理連接上光驅(qū)。