活动目录（Active Directory）域故障解决实例（下）

Q16、正常卸载AD时的常见问题

       在实际工作中有时我们需要改变服务器角色，或者将实验中安装的DC回复到普通成员/独立服务器身份，这就要进行AD的卸载。

1、卸载时会提示给新的本地管理员设置密码

2、附加DC卸载后，仍在域中。

3、如果AD不能卸载，应从以下几方面考虑：

（1）网卡是否正常工作

即使你整个林中只有一台计算机，也要保证网卡正常工作，才能将AD卸载。网卡不工作或禁用网卡都会导致AD无法卸载，提示“卸载SYSVOL文件夹出错”

（2）权限

权限要求与安装AD时类似，若一个林中只有一个域，那么你要卸载的就是林根域，需要林管理员（Enterprise Admins）权限；卸载附加DC需要该域的域管理员（Domain Admins）权限；卸载子域或树，涉及到林结构的改变，也需要林管理员权限。

（3）DNS

       一般应保证与安装时所用DNS一致。如果做了DNS规划，必须保证1中权限所要求的管理员身份能通过DNS找到相应DC，进行验证。

（4）域命名主控

       卸载时只要涉及到林结构的改变，就需要保证域命名主控有效；卸载附加DC时不要求域命名主控有效。

但要注意的是：卸载时，域命名主控失效的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同，具体是：由于以下原因，操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。

（5）卸载的顺序

       与安装顺序相反，应该先逐级卸载下面的子域，最后卸载树根域、林根域。否则将导致子域无法卸载，而存在的子域还有问题，找不到林根域、树根域了。

       因为这时极有可能架构和域命名主控及GC未转移，林管理员组和架构管理员组（Schema Admins）已经随林根域的删除而没有了。为什么这么说呢？因为如果管理员考虑到主控及GC等的转移问题，也就不会误删除林根域了。

Q17、AD无法正常卸载，或者说DC无法正常降级为成员服务器？

1、Dcpromo /forceremoval强制卸载AD

2、重设目录恢复模式下的管理员密码：

2000：winnt\system32\setpwd.exe

03：使用ntdsutil实用工具，set dsrm password

       如果按照上例的要求，还是无法正常卸载AD，且出错提示未提到DNS方面的故障。考虑本机上已安装有的应用程序，你还不想重做系统，可考虑使用如下办法。

1、开始/运行，在命令行中输入regedit或regedt32打开注册表编辑器。

2、找到以下的键值：

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options

　　键值：ProductType  类型：REG_SZ

3、 将原来的值“LanmanNT”改为“ServerNT”。

              

说明：

（1）LanmanNT表示本机为域控制器DC，ServerNT表示本机为非DC。

（2）只有当CurrentControlSet1和CurrentControlSet下的键值：ProductType 所等于的数据不同时，即一个为ServerNT，一个为LanmanNT才允许修改。否则将会出如下提示：

¨     对于2000：“系统已检测到干预您的注册产品类型，这是您对软件许可证的侵犯。干预产品类型是不允许的。”

¨     对于03：“系统检测到您的注册的产品类型有篡改现象。这是对软件许可证的侵犯。篡改产品类型是不允许的。”

（3）教学实践中可以利用ntdsutil将子域的server对象（实质指DC）手动删除，然后运行dcpromo降级，降级失败后演示此知识点。

接下来，方法一：

1、重新启动计算机，按F8键进入到“目录服务恢复模式”。

说明：

（1）在此模式下，AD不工作，以便对AD库文件及系统卷sysvol进行操作。

（2）登录的口令不同于平时所用的口令，是在安装AD时，所设的目录恢复模式下的口令。保存在本机一个SAM库文件中。

2、删除存放活动目录数据库的文件夹，默认为C:\WinNT\NTDS，或C:\Windows\NTDS。

3、删除存放系统卷的文件夹，默认为C:\WinNT\SYSVOL，或C:\Windows\SYSVOL

4、重新启动计算机。

5、由于还有一些作为域控制器的注册表键值和文件存在，所以在重新启动完计算机后，还需要使用dcpromo命令来升级计算机B到一个临时的域的域控制器（域名可以任意填写），然后再用dcpromo命令降级，这样才会完整地删除所有和域控制器相关的注册表键值和文件。

方法二

1、开始/运行，在命令行中输入dcpromo

2、由于前面已经修改了注册表，此时为AD安装界面，而非卸载界面。

3、会遇到如下出错提示：“由于网络上名称冲突，选定默认的NetBIOS域名‘xxx’”。

说明：xxx为你修改注册表前原来域的NetBIOS名称。

4、不必介意出错提示，手动设置你想要的名称。比如你此次的域为abc.com，则手动设xxx改为ABC即可。

5、再接下来会遇到提示：“c:\winnt\ntds文件夹不是空的，当升级处理开始时，要删除文件夹中所有的文件吗？（如果不，请指定另一个文件夹。）”

6、选择：是

说明：

（1）在选择系统卷的夹，如c:\winnnt\sysvol后，时间可能会比较长，请耐心等待。

（2）和正常安装时一样，可能会碰到DNS错误提示，一般选择在本机安装DNS即可。

（3）也可能会出现“计算机已脱离域，帐号未被禁用”的提示，不必理会。

（4）最重要的一点是：这第一次非常可能不成功，再重来一遍dcpromo即可。

7、如果这次安装是为了清除残余的注册表键值和垃圾文件，可再次运行dcpromo进行卸载。当然直接使用这台DC，也是可以的。

       最后强调一下，此方法并不是万能的。一是前面我们已经提到的，有时注册表不允许修改或者改完了存不上。再有就是如果在卸载的一开始，就出现有关DNS的出错信息，必须首先排除DNS故障才行。

Q18、如何清理AD数据库中的垃圾对象。

       如果我们非正常卸载AD子域、DC等，就会在AD元数据库中留下垃圾。比如上面的例子，又比如未经AD卸载就把DC计算机的系统重做了。这些垃圾对象一般来讲无碍大局，但如果我们想优化AD的性能，不想给用户带来不必要的麻烦（比如用户选择登录到已经不存在的子域），就可以利用ntdsutil工具进行元数据库清理（metadata cleanup），来删除垃圾对象。具体操作如下：

1、开始/运行：cmd，在命令行下键入 ntdsutil。

说明：

（1）直接，开始/运行：ntdsutil，也可以。

（2）进行元数据库清理，不要进到目录恢复模式下。

（3）进行元数据库清理，可以在非DC的2000/XP/03计算机上进行。但有些操作（如使用ntdsutil工具进行授权恢复、整理移动AD库文件）必须在DC上进行。

（4）在ntdsutil的每级菜单下都可以通过键入：？或HELP，查看本级菜单下可用的命令。

2、在 ntdsutil: 提示符下，键入 metadata cleanup ，然后按 ENTER。

说明：ntdsutil是个分层的多级命令行工具，用户在键入名字时，可简写，只要不同于本级命令中的其它命令即可。比如上面的命令metadata cleanup可简写为m c。

3、在 metadata cleanup: 提示符下，键入 connections ，然后按 ENTER。

4、在 server connections: 提示符下，键入 connect to server servername，然后按 ENTER。

说明：

（1）其中 servername 是指域控制器的DNS名称，用主机名或FQDN均可。注意：虽然联机说明中提到了可以用IP去连，但实际上发现用IP去连接，会出现参数不正确的出错提示。

（2）在这里要连接的DC，应是一个正常工作的、可操作的DC，而不是你要清理的那个DC对象。

5、键入 quit ，然后按 ENTER 回到 metadata cleanup: 提示符。

6、键入 select operation target ，然后按 ENTER。

7、键入 list domains ，然后按 ENTER。

说明：此操作将列出林中的所有域，每一域附带与其相关联的一个数字。

8、键入 select domain number，然后按 ENTER。

说明：其中 number 是与故障服务器所在的域相关的数字。

9、键入 list sites ，然后按 ENTER。

10、键入 select site number，然后按 ENTER。

说明：其中 number 是指域控制器所属的站点号码。

11、键入 list servers in site ，然后按 ENTER。

说明：这将列出站点上所有服务器，每一服务器附带一个相关的数字。

12、键入 select server number，然后按 ENTER 。

说明：其中 number 是指要删除的域控制器。

13、键入 quit ，然后按 ENTER，退回到Metadata cleanup 菜单。

接下来，根据需要，删除相应的垃圾对象：

14、键入 remove selected server ，然后按 ENTER。

此时，Active Directory 确认域控制器已成功删除。若收到无法找到对象的错误报告，Active Directory 可能已删除了域控制器。

15、或者键入 remove selected domain，然后按 ENTER。

说明：要想删除域，必须得先删除这个域的server对象（实质是DC）才行。

16、键入 quit 然后按 ENTER 直至回到命令符。

如果清理的是Server对象，还需要：1、到Active Directory 站点和服务上，展开适当站点，删除相应Server对象。2、到Active Directory 用户和计算机上，双击打开Domain Controllers这个OU，删除相应的DC对象。

       如果清理的是Domain对象，还需要到Active Directory域和信任关系上，删除相应的已经没有用的信任关系。否则该域名还会出现在登录的域列表。

       在实际操作中，必须先做元数据清理，然后再到相应的管理工具中删除相应的对象。若是直接到管理工具中去删，系统将不允许删除。

Q19、欲替换域中唯一的一台DC，如何传送五种主控和转移GC。

一、传送五种主控

操作：

1、安装第二台DC（假设为DC2，原来的为DC1），

2、到相应的管理工具（具体见前）下，右键连接到域控制器：DC2，

3、右键/操作主机/相应标签下，点击更改即可。

说明：

1、其实在图形界面下，操作很简单，关键看能不能成功。

2、目标都在下面，只有架构的特殊，目标在上面。

3、如果DC都是最近安装的，极易成功。如果是运行了一段时间的，就不好说了。但我估计你的成功率应在九成以上，因为一般网管都不太动这个。

4、传送结构主控时，若目标已是GC，会提示出错。可以不理会，继续。因为结构主控负责：更新外部对象的索引（组成员资格），不应该和GC在同一个DC上，应手动移走，否则将不起作用。而单域不需要基础结构主控非得有效，我们一般平常用的都是单域，默认基础结构主控就和GC在一起，不起作用。

5、若传送不成功，不要着急，等5分钟~2小时不等，你什么都没做，再试可能就成功了。可以利用AD站点和服务/站点/默认的第一个站点名/SERVER/DC/ntds setting/AD连接/右键/立即复制副本，来强制AD马上复制。但有时候，仅依赖于此，还是不行，还得等。

6、至于把老DC从AD中去除，在开始/运行/DCPROMO，卸载AD。不要选“这是域中最后一台DC”，若能成功卸载，就一切OK了。如不成功，可以直接把原DC废掉重装。AD中会有原DC的垃圾对象，也不影响什么。若非要清干净，参见前例。

7、如果原角色DC已经无法访问，就只能进行强制传送了，也就是查封（seize）。查封的实质就是强行推出新的主控，会有数据的丢失。在图形界面下会有提示：原主控无法联系，是否强行传送。选择“是”，进行的就是查封操作。

8、利用ntdsutil工具roles下transfer命令和seize命令也可以实现上述操作。实验中发现，无论是用transfer还是seize，关键看是否能连接到原主控。连接下情况，就是传送；不连接情况下就是查封。如：在连接情况下，使用查封（seize）命令，操作的结果仍是传送：原主控不再是主控，目标成为新的主控。

二、转移GC

       GC不具有唯一性，可在AD站点和服务中，将DC2设为GC。操作如下：

1、在Default-First-Site-Name/servers/dc2/NTDS Settings/右键/属性。

2、选中“全局编录”。

3、你会看到在选项下面的说明：发布全局目录所需要的时间取决您使用的复制拓扑。

说明：不要急于把DC1断开，应等待足够长的时间，局域网环境一般也就是几分钟。是否将GC的内容成功传送，可在DC2上查看注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters下是否有这样一条：Global Catalog Promotion Complete=1。若未传送完，没有这一条。

Q20、如何进行AD的备份与恢复

       最好的办法是作为系统状态数据的一部分，利用2000/03自带的备份工具来进行备份/恢复。备份工具位于：开始/程序/附件/系统工具下。利用备份/恢复系统状态数据，可以恢复之前的域用户帐户数据和DNS，以及安全设置、组策略设置、还有配置等等。但DHCP、WINS等需要单独备份。
说明：

1、  DNS区域必须为AD集成区域，如果不是，在备份之前，将标准主区域转成AD集成区域即可。因为AD集成的意思就是：将DNS区域信息，作为AD的一部分进行存储、复制。

2、  管理工具下有关AD和域的管理工具的快捷方式不会被恢复(03仍未解决这个问题），可以运行2000S光盘I386\adminpak.msi，将所有的域管理工具追加上。也可手动开始/运行/MMC，添加相应的管理工具，如DNS、AD用户和计算机等。

3、  重装的2000/03系统，不必安装AD，直接恢复就行。开机，F8，目录恢复模式，恢复大约需要4-5分钟。（实际当中我也试了，新装的系统，没有安装AD，在正常启动模式下恢复也可以，因为它根本没有AD，不涉及到AD正在工作，不允许替换的问题，只不过时间会稍长一些，约7-8分钟）

4、  2000下利用备份工具恢复系统状态数据时，需要手动将“如果文件已存在：不替换”改为“如果文件已存在，总是替换”。

具体操作：工具/选项/还原：选择“无条件替换本地上的文件”。否则2000在恢复时，可能不会把winnt\sysvol\sysvol（里面是组策略具体的设置值，被称为GPT）给恢复回来。03DC上没有这个问题，系统会自动提示是否替换，选择“是”即可。

5、具体备份/恢复的步骤，参考下例。

Q21、如何进行授权恢复

       首先我们通过一个例子，来说明一下什么是授权恢复。

设域内有不止一台DC，管理员误删除了一个OU，然后用以前的AD备份进行了恢复操作。如果不做什么特别的设置（即授权恢复），当DC间进行AD同步时，由被恢复的数据是以前的，AD的版本号低，将被其它DC的高版本内容所覆盖。这样刚被恢复的OU就又被删掉了。

所以我们需要手动通过ntdsutil工具指定对这个OU对象进行授权恢复，系统将按距备份时间每隔一天100000的标准来增加其AD版本号，确保一定高于其它DC上的版本号。

具体操作如下：

1、重启DC，按F8，选择目录恢复模式

2、用目录恢复模式下的管理员SAM帐号登录

3、开始/程序/附件/系统工具/备份，在恢复标签下进行“系统状态数据”的恢复

4、若此时重新启动DC，则以上为正常恢复，即非授权恢复。

若要进行授权恢复，则此时一定不要重启DC

4、开始/运行：ntdsutil

5、键入authoritative restore，到授权恢复提示符

6、键入restore subtree 对象DN（也可以是子树，甚至是整个AD）

7、退出Ntdsutil

8、重新正常启动DC。

说明：若要进行系统卷SYSVOL（主要是组策略设置）的授权恢复，即将组策略恢复到以前的状态，但AD库要保留当前。不必使用Ntdsutil，直接将AD库恢复到其它位置即可，这是因为系统状态数据在备份/恢复时，不能进行细化的选择。

Q22、如何移动、整理AD数据库？

一、移动AD数据库

       将 Ntds.dit 数据文件移动到指定的新目录中并更新注册表，使得在系统重新启动时，目录服务使用新的位置。系统为了安全起见，并不删除原来的数据库。具体操作如下：

1、为了以防万一，最好备份AD。

2、重启DC，按F8，选择目录恢复模式

3、用目录恢复模式下的管理员SAM帐号登录

4、开始/运行：ntdsutil

5、输入files，切换到文件提示符files>下

6、输入 move DB to c:\ folder

7、移动Ntds.dit成功提示。

8、输入quit二次，退出

9、重新正常启动DC

二、整理AD数据库

       将调用 Esentutl.exe 以压缩现有的AD库文件，并将压缩后的AD库文件写入到指定文件夹中。压缩完成之后，将保留原来的AD库文件，将新的压缩后的AD库文件保存到到该文件的原来位置。

另外顺便说明一下，ESENT也支持联机压缩，目录服务定期（默认12小时）调用联机压缩，但联机压缩只是重新安排数据文件内的页面，并不能象手动压缩这样：将空间释放回文件系统。

       整理AD数据库具体步骤如下：

1-5步，与前面相同。

6、输入compact to c:\folder

7、显示整理碎片，直至完成。

8、输入quit，退出。

9、对于2000需要：复制新的NTDS.DIT文件覆盖旧的NTDS.DIT文件

10、重新正常启动DC2-3-4组策略应用相关实例

关于组策略应用的实例，那真是三天三夜也说不完，因为总共有600+200多条策略。在此仅举几例，来说明问题。有的比较简单，有的稍微复杂一些，我们会展开来讨论一下。需要强调的是，作为管理员平时要多看看组策略中具体都有哪些设置，当然谁也不可能逐条去实践去测试，但要大概有个印象。当有某种需求时，你才会想起某条组策略设置来，根据印象找到那条策略，先看说明标签，再具体实践，逐步积累。

       前面我们讲过安全策略是组策略的子集（一部分），我们会首先讨论和安全策略相关的实例，然后才是其它的策略。

Q1、普通域用户无法在DC上登录？

       为了保护域控制器，默认能在DC上登录的用户只有：Administrators、Account operators、Backup operators、Server operators、Print operators这些特定的管理组。要想使普通域用户有权在DC上登录，可以将其加入到这些组中。

       但更多时候，我们不想让用户有过多的权利权限，也可以在开始/程序/管理工具/域控制器的安全策略/本地策略/用户权利分配/允许在本地登录下通过添加，指派其在DC上登录的权利即可。

Q2、在03域中添加用户时，总是提示我不符合密码策略，怎么办？

对于03，默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求，且密码最小长度为7。口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

我们可以设置复杂一些的密码，也可以重新设默认域的安全策略来解决。操作如下：

开始/程序/管理工具/域安全策略/帐户策略/密码策略：

¨       密码必须符合复杂性要求：由“已启用”改为“已禁用”；

¨       密码长度最小值：由“7个字符”改为“0个字符”。

欲策略设置马上生效，可利用gpupdate进行刷新。（具体见前）

       如果添加的是本地用户，解决办法与此相同，只不过修改的是本地安全策略。

Q3、在2000/03域中，前网管设置了一个开机登陆时的提示页面，已过时，现想取消，如何操作？

登录到本机时出现，则在管理工具/本地安全策略，或开始/运行：gpedit.msc中配置。若是登录到域时出现，则在管理工具/域的安全策略，或AD用户和计算机/属性/组策略中配置。具体会涉及到：安全设置/本地策略/安全选项下的这两条，

¨       交互式登录：用户试图登录时消息标题

¨       交互式登录：用户试图登录时消息文字

Q4、如何设置不让用户修改计算机的配置（如TCP/IP等）？

可以利用本地策略或基于域的组策略锁定，具体操作：

1、  本地：开始/运行：gpedit.msc。或

2、  域：开始/程序/管理工具/AD用户和计算机/域名上/右键/属性/组策略/默认域的组策略

3、在用户配置/管理模板/网络/网络及拨号连接：禁止访问LAN连接的属性。

说明：

1、  若利用本地策略实现，本地管理员，可以重新设置策略解开。

2、  若利用域策略实现，只是域用户受此限制。本地管理员，不受此限制。

所以应该不给用户本地管理员口令，让用户以非本地管理员/域用户身份登录。为了保证用户能安装软件或做其它管理工作，可将其加入本地的Power Users组。

Q5、非管理员用户无法登录到终端服务器？

       欲使用户能利用“终端服务客户端软件”或“远程桌面”登录到2000/03 Server，对于2000S需要在服务器上安装终端服务，对于03S只需在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机”即可。对于管理员默认即可通过TS登录进来。

       非管理员用户通过终端服务无法登录，除了网络连接方面的问题以外，主要有以下五个方面的原因：

1、终端服务器同时是DC，而普通用户无权在DC上登录。

       解决办法：具体见前。

2、安全策略/本地策略/用户权利分配：通过终端服务允许登录。

       这是03特有的，2000没有这条安全策略。解决办法，

方法一、在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机”选项后，单击“选择远程用户”/添加。用户将被自动加入到Remote Desktop Users组，而这个组默认有“通过终端服务允许登录”的权利。

方法二、手动将用户加入到Remote Desktop Users组

方法三、手动直接指派用户“通过终端服务允许登录”的权利

注意：如果终端服务器同时是DC，必须使用方法三。原因是为了保护DC，DC上的本地安全策略里，只允许Administratrs组有此权利，而将Remote Desktop Users组删掉了。

3、开始/程序/管理工具/终端服务配置/RDP-Tcp/右键/属性/权限。

       解决办法：手动将用户加入到Remote Desktop Users组，或确保用户在此权限下有来宾访问或用户访问的权限。

4、用户所用帐号口令为空。

       若终端服务器为03，用户使用此服务器上的本地帐号、且口令为空，通过TS登录。由于03本地安全策略/本地策略/安全选项/帐户：使用空白密码的本地帐户只允许进行控制台登录，默认启用，这将会阻止用户登录。解决办法：使用非空密码或禁用此策略。

       顺便提一下，这也是常见的通过网络访问XP/03上的共享资源，不通的原因之一。

5、所用帐号属性/终端服务配置文件/“允许登录到终端服务器”选项。

       这个选项，默认就是选中的，除非有人动过。解决办法：手动选中即可。

6、还有两种可能：
（1）2000：未安装TS服务；03：未启用远程桌面
（2）03：启用了ICF，但未设允许RDP进入

Q6、在2000（也仅是2000）中由于禁止本地登录权利而导致的所有用户、管理员无法登录。

       在安全策略/本地策略/用户权利分配下有两条策略：

¨       拒绝本地登录，默认为“未定义”。

¨       允许在本地登录，其默认值分别为：

u       本地计算机策略：Administrators、Backup Operators、Power Users、Users

u       默认域的策略：未定义

u       默认域控制器的策略：Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname

       说明：如果在同一级别上、对同一对象（用户或组）、同时设置了“允许”和“拒绝”，“拒绝”权利的优先级别高。也就是说二者冲突时，“拒绝”权利生效。

假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员，又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录，出错提示为：“此系统的本地策略不允许您采用交互式登录”，也就没办法将策略设置改回正常了。

这种情形看起来像一个解不开的"死结"：要解除禁止本地登录的组策略设置，必须以管理员身份本地登录；要以管理员身份本地登录，就必须先解除禁止本地登录的组策略设置。

问题还是有办法解决的，分别讨论如下：

一、被域策略和域控制器策略所阻止

       显然你应该是被域策略和域控制器策略同时阻止了登录权利，因为：

1、如果只是域策略阻止，由于默认域控制器的策略上允许Administrators登录，而域控制器（Domain Controllers）是个OU，前面我们讲过组策略的LSDOU原则，所以管理员可以登录到DC上，把策略改回去。

2、如果只是域控制器的策略阻止，它只对DC生效。管理员可以在域内的其它计算机上登录到域，把策略改回去。

要解决被域策略和域控制器策略同时阻止，首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中，位于DC的winnt\sysvol\sysvol中，以GUID为文件夹名。”其中安全设置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf这个安全模板文件中。它实质就是一个文本文件，可利用记事本进行编辑。

说明：前面我们介绍过，默认域的策略、默认域控制器的策略使用固定的GUID，分别是：

¨       默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9

¨       默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。

可以利用C盘的隐含共享C$，或winnt\sysvol\sysvol的共享sysvol连过去，直接编辑，具体操作如下：

1、在另一台联网的计算机（Win9X/2000/XP均可）上，使用域管理员账号连接到DC。

2、利用记事本打开GptTmpl.inf文件。

3、找到文件中[Privilege Rights]小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字，进行编辑即可。如：

¨       使SeDenyInteractiveLogonRight所等于的值为空。

¨       保证SeInteractiveLogonRight= *S-1-5-32-544，……

4、保存退出。

说明：

1、关于各SID所表示的意义，参见前面的表格。SID前面的*要保留，系统执行时才不会其后面的SID当作具体的用户/组的名字。

2、如果域中不止一台DC，为保证DC同步时刚才所做的修改最终生效（原理同授权恢复），需要：

（1）打开winnt\sysvol\sysvol\你的域名\Policies\刚刚所修改策略的 GUID\ GPT.INI文件

（2）找到文件中的[General]小节下的“Version”，手动将其值增大，通常是加10000。这是我们修改的这个组策略对象的版本号，版本号提高后可以保证我们的更改被复制到其它DC上。

（3）保存退出。

5、重新启动DC，域策略将被刷新。

说明：也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略，这样就不必重启DC了。但需要用到telnet，细节参考前面telnet命令和接下来的内容。

6、以域管理员身份在DC上正常登录到域，重新设置安全域策略中的相关项目。

二、被本地安全策略所阻止

       很多人都会想到利用MMC远程管理功能，重设目标机的安全策略。具体操作如下：

开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机，如果有权限的话，你会发现你能找到并管理其它的策略设置，但是就是没有安全策略等项目出现在列表中。

       这是由于在Windows2000中，不支持对计算机本地策略的安全设置部分进行远程管理。而且本地安全策略设置的实现也与域策略不同，它存放在一个二进制的安全数据库secedit.sdb。

那么我们该怎么办呢？我们可以使用telnet连接到故障计算机上，利用前面我们介绍过secedit命令导出安全设置到安全模板，即扩展名为.inf的文本文件中。利用记事本编辑后，再利用secedit命令将修改后的安全设置配置给计算机，这样也就大功告功了。但如果故障计算机上的telnet服务没有启动，那么我们应该首先把故障计算机上telnet服务启动起来，才能连过去。

说明：因为telnet服务的启动类型，默认为手动，所以正常情况下它是不会启动的。此时连过去的出错信息为：正在连接以xxx不能打开到主机的连接，在端口23：连接失败。

综上所述，具体解决办法如下：

1、在另一台联网的计算机（2000/XP/03均可）上，修改其管理员密码，使用户名和口令均与故障计算机上的相同。（这主要为了方便，若在连接或使用的时候输入目标计算机上的用户名和口令，也可以）

2、注销后，重新登录进来。

3、我的电脑/右键/管理，打开计算机管理。

4、在计算机管理上/右键/连接到另一台计算机：故障计算机IP。

5、在服务下找到telnet，手动将它启动起来。

接下来使用telnet连接过来

6、开始/运行：cmd，键入telnet 目标IP

7、在C:\>提示符下，键入secedit /export /cfg c:\sectmp.inf，导出它的当前安全设置。

8、点击开始/运行：\\目标IP\C$，双击c:\sectmp.inf，用记事本打开。

9、编辑sectmp.inf文件，具体同前面情况一的步骤3

10、回到步骤7的命令窗口，键入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf将修改后的设置值，配置给计算机。

11、运行secedit /refreshpolicy machine_policy /enforce刷新策略，这样就不必故障计算机了。

12、以本地管理员身份在故障计算机上正常登录到域，重新设置安全域策略中的相关项目。

最后说明一下：对于XP/03不存在上述问题，微软已经修正了这个问题。用户不能阻止所有人或管理员登录，在图形界面下根本设不上；使用其它手段强行设上了也不起作用。因此大家可以想一想，针对上面第一种情况，实际上可以加一台XP/03到2000域，在XP/03上登录到域，将其解开。

本例的实际排错意义并不大，但建议大家最好还是能把这个实验做一下，因为它涉及到了很多知识点，如：基于域安全策略、本地安全策略的实施原理，组策略及其优先级，权利、SID，还有同名同口令帐户登录、telnet、secedit工具的使用等等。再有大家也可以做一下实验，既然我们能通过网络解开，同样也能通过网络设上。

Q7、Win2000/03域中默认策略被误删，如何恢复？

       对于Win2000，微软在“下载中心”提供了Windows 2000默认策略还原工具的下载。微软开发这一工具旨在帮助用户在意外删除默认策略时，能够重新还原“默认缺省域的组策略”和“默认域控制器的组策略”文件。请到下列地址下载相应工具：

http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en

对于Win03,微软提醒用户不要将其应用于Windows Server 2003上。Win03自带的Dcgpofix.exe就可以完成还原任务。

需要强调的是：作为管理员应及时将组策略的设置进行备份。可利用2000/03自带的备份工具，把组策略作为系统状态的一部分进行备份。也可以利用GPMC工具专门备份组策略的设置。这样即使出问题了，重新恢复，也不用再把组策略重新设置了。

Q8、作为管理员，我通过组策略设置了一些限制，如“不要运行指定的windows应用程序”，但总有个别用户在网上能找到破解的办法，我该怎么办？

这段话使我想起了关于网络安全一条名言：没有绝对的安全。我个人也觉得在计算机网络世界里，永远是高手在蒙低手。若水平都很高，那么最终的安全又回到了物理安全设置上（术语叫：社会工程）。下面以“不要运行指定的windows应用程序”这条组策略设置的攻防转换，来阐明这个问题

第一回合：

       管理员：通过本地策略限制某用户运行某些用户程序，如QQ、反恐、realplay等。操作：开始/运行，键入gpedit.msc，用户配置/管理模板/系统/不要运行指定的windows应用程序，启用／显示／添加：上述应用的.exe文件名即可。

       用　户：用户如果知道管理员怎么设置的限制，同样的办法取消限制即可。

第二回合：

       管理员：将mmc.exe也加入到上述禁止运行列表中，使用户无法打开任何MMC管理控制台。

       用　户：开始/运行：cmd，键入mmc，将会打开控制台下，文件/添加删除管理单元，添加：组策略对象编辑器/本地计算机策略，取消限制。

       说明：用户在CMD方式下，直接键入gpedit.msc仍不能运行。此解法的知识点来自这条策略的说明标签。

第三回合：

       管理员：将cmd.exe也禁止运行

       用　户：重新启动计算机，按F8，选择带命令行的安全模式。登录进来后，在CMD方式下，键入mmc，将会打开控制台下，文件/添加删除管理单元，添加：组策略对象编辑器/本地计算机策略，取消限制。

第四回合：

       管理员：一看不行了，还是借助于基于域的组策略吧。将用户计算机加入到域，不给用户本地管理员的口令，要求用户使用一个域用户帐号（为不影响用户的其它正常应用，可将其加入到客户机的Power Uers组），并将此域用户帐号放到一个OU中，链接组策略，设置上述限制。

       用　户：手动删除注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。

第五回合：

       管理员：因为默认情况下，若用户手动修改注册表中的组策略设置值，若策略未变，组策略不负责强制改回。管理员可利用组策略／计算机配置／管理模板／系统／组策略／注册表策略处理，设置成“即使尚未更改组策略对象也进行处理”，执行强制性的、周期性刷新策略。

       用　户：用户修改程序文件名，以避开策略的限制（尤其是对非MS的应用程序）。

第六回合：

       管理员：设置权限，让用户无权修改文件名。

       用   户：利用用凤凰启动盘重设本地管理员密码，以本地管理员登录进来后，不受上述限制，也可以干脆脱离域

第七回合：

管理员：在BIOS中禁用光驱并设上BIOS密码，或物理断开光驱。

用　户：打开机箱，跳线清除BIOS密码，或物理连接上光驱。

……  ……

       通过本例大家也看到了，作为网络员应当不断学习，提高自身技术才行。在学习要充分利用Internet这个最广博的老师，最大的知识库。