关于服务器的 域控制器安全策略
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于服务器的 域控制器安全策略相关的知识,希望对你有一定的参考价值。
服务器一直运行正常,今天早上重新启动电脑之后访问服务器的共享文件时出现“无法访问,没有定义在该服务器的登录类型”。然后我远端连线到域控,发现无法远端连接到服务器,只好本地登录,登录服务器后发现“域控制器安全策略”中的“从网络访问此计算机”中的所有用户像是被删除了,我想添加用户,结果出现
出现了扩展错误。
未能保存" \\DC\sysvol\longf.gd\policies\6AC1786C-016F-11D2-945F-00C04fB984F9\machine\micorsoft\windows nt\secedit\GptTmpl.inf "
后来我怀疑GptTmpl.inf 是不是被人删除了,结果能找到该文件,只是发现里面的 SeNetworkLogonRight 后面的值没了,没办法,查找微软官方网站把相应值复制进去并保存,然后 运行 gpupdate /force /target:computer gpupdate 刷新计算机策略后,重进域控制器安全策略 中的 从网络访问计算机单元时发现信息已经正确,共享文件已经可以访问。
可奇怪的问题出现了,大概等5--6分钟的时候,共享文件又不能访问了,域控制器安全策略 中的 从网络访问计算机单元时发现里面的用户又没有了,而且GptTmpl.inf 里面的SeNetworkLogonRight值又被清掉了,(注意,客户机并没有人修改我的文件)。实在没办法我只好上网查产看是不是有人和我一样的遭遇,结果发现有相关的解决办法:
以下为引用部分
域策略的安全设置部分都保存在一个名为"GptTmpl.inf"的安全模板中,这是一个文本文件,存放在DC(域控制器)的SYSVOL(物理目录指向DC的“c:\winnt\sysvol\sysvol")共享中。要解除对所有用户本地登录限制,在不能本地登录的情况下,最快捷的办法可能就是直接编辑这个文本文件。
具体操作如下:
在另一台计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC的SYSVOL共享,在"\\<DC name>\sysvol\<Domain name>\Policies\<policy GUID>\MACHINE\Microsoft\Windows NT\SecEdit"下找到该文本文件"GptTmpl.inf"。(路径中的"DC name"是你放置该组策略的域控制器的名字,"Domain name"是你的域的名字,"Policy GUID"是你要编辑的组策略对象的GUID,类似于"31B2F340-016D-11D2-945F-05C04FB98439")。
使用记事本打开"GptTmpl.inf"文件,找到文件中"Privilege Rights"小节下的 "SeDenyInteractiveLogonRight"关键字,它的值就是被拒绝本地登录的用户或组的SID,将这些SID删除,使 "SeDenyInteractiveLogonRight"关键字的值为空。修改完毕将文件保存回原位置。
使用记事本打开位于"\\<DC name>\sysvol\<Domain name>\Policies\<policy GUID>"下的 "GPT.INI"文件,提高"General"小节下的"Version"关键字的值,通常是加1000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。修改完毕将文件保存回原位置。
域策略刷新后,问题即告解决。
本地登录DC重新设置域策略中的相关项目。
用此方法可以解决问题,但也是只能使用几分钟,又会被还原成老样子(不能访问),在此请教各位高手,帮我解决一下,不胜感激!!!!
2、另外,查一查有没有中病毒。
3、实在不行,准备重装服务器系统吧! 参考技术A 应该是病毒的问题
安全配置向导
安全配置向导
应用到: Windows Server 2008 R2
安全配置向导 (SCW) 引导您完成创建、编辑、应用或回滚安全策略的过程。使用 SCW 创建的安全策略是一个 .xml 文件,应用后,可以配置服务、网络安全、特定注册表值和审核策略。SCW 是一个基于角色的工具:可以用于创建策略,以启用所选服务器执行特定角色(如文件服务器、打印服务器或域控制器)时所需的服务、防火墙规则和设置。
使用 SCW 时应注意下列事项:
- SCW 禁用不需要的服务并提供对具有高级安全性的 Windows 防火墙的支持。
- 使用 SCW 创建的安全策略与安全模板不同,后者是扩展名为 .inf 的文件。安全模板包含的安全设置要多于可以使用 SCW 设置的安全设置。但是,可以在 SCW 安全策略文件中包含安全模板。
- 可以使用组策略来部署使用 SCW 创建的安全策略。
- SCW 不会安装或卸载服务器执行角色时所需的组件。可以通过服务器管理器安装角色特定的组件。
- SCW 将检测从属角色。如果选择了某个角色,SCW 将自动选择所有从属角色。
- 在运行 SCW 时,所有使用 IP 协议和端口的应用程序必须正在服务器上运行。
- 在某些情况下,必须连接到 Internet,以使用 SCW 帮助中的链接。
以上是关于关于服务器的 域控制器安全策略的主要内容,如果未能解决你的问题,请参考以下文章