关于服务器的 域控制器安全策略

Posted 2023-04-20

服务器一直运行正常，今天早上重新启动电脑之后访问服务器的共享文件时出现“无法访问，没有定义在该服务器的登录类型”。然后我远端连线到域控，发现无法远端连接到服务器，只好本地登录，登录服务器后发现“域控制器安全策略”中的“从网络访问此计算机”中的所有用户像是被删除了，我想添加用户，结果出现
出现了扩展错误。
未能保存" \\DC\sysvol\longf.gd\policies\6AC1786C-016F-11D2-945F-00C04fB984F9\machine\micorsoft\windows nt\secedit\GptTmpl.inf "

后来我怀疑GptTmpl.inf 是不是被人删除了，结果能找到该文件，只是发现里面的 SeNetworkLogonRight 后面的值没了，没办法，查找微软官方网站把相应值复制进去并保存，然后 运行 gpupdate /force /target:computer gpupdate 刷新计算机策略后，重进域控制器安全策略 中的 从网络访问计算机单元时发现信息已经正确，共享文件已经可以访问。

可奇怪的问题出现了，大概等5--6分钟的时候，共享文件又不能访问了，域控制器安全策略 中的 从网络访问计算机单元时发现里面的用户又没有了，而且GptTmpl.inf 里面的SeNetworkLogonRight值又被清掉了，（注意，客户机并没有人修改我的文件）。实在没办法我只好上网查产看是不是有人和我一样的遭遇，结果发现有相关的解决办法：

以下为引用部分
域策略的安全设置部分都保存在一个名为"GptTmpl.inf"的安全模板中，这是一个文本文件，存放在DC（域控制器）的SYSVOL（物理目录指向DC的“c:\winnt\sysvol\sysvol"）共享中。要解除对所有用户本地登录限制，在不能本地登录的情况下，最快捷的办法可能就是直接编辑这个文本文件。
具体操作如下：
在另一台计算机（Win9X/2000/XP均可）上，使用域管理员账号连接到DC的SYSVOL共享，在"\\<DC name>\sysvol\<Domain name>\Policies\<policy GUID>\MACHINE\Microsoft\Windows NT\SecEdit"下找到该文本文件"GptTmpl.inf"。(路径中的"DC name"是你放置该组策略的域控制器的名字，"Domain name"是你的域的名字，"Policy GUID"是你要编辑的组策略对象的GUID，类似于"31B2F340-016D-11D2-945F-05C04FB98439")。
使用记事本打开"GptTmpl.inf"文件，找到文件中"Privilege Rights"小节下的 "SeDenyInteractiveLogonRight"关键字，它的值就是被拒绝本地登录的用户或组的SID，将这些SID删除，使 "SeDenyInteractiveLogonRight"关键字的值为空。修改完毕将文件保存回原位置。
使用记事本打开位于"\\<DC name>\sysvol\<Domain name>\Policies\<policy GUID>"下的 "GPT.INI"文件，提高"General"小节下的"Version"关键字的值，通常是加1000。这是我们修改的这个组策略对象的版本号，版本号提高后可以保证我们的更改被复制到其它DC上。修改完毕将文件保存回原位置。
域策略刷新后，问题即告解决。
本地登录DC重新设置域策略中的相关项目。

用此方法可以解决问题，但也是只能使用几分钟，又会被还原成老样子（不能访问），在此请教各位高手，帮我解决一下，不胜感激！！！！

1、建议将DC的备份信息恢复，覆盖掉现在的组策略设置。
2、另外，查一查有没有中病毒。
3、实在不行，准备重装服务器系统吧！ 参考技术A 应该是病毒的问题

安全配置向导

安全配置向导

应用到: Windows Server 2008 R2

安全配置向导 (SCW) 引导您完成创建、编辑、应用或回滚安全策略的过程。使用 SCW 创建的安全策略是一个 .xml 文件，应用后，可以配置服务、网络安全、特定注册表值和审核策略。SCW 是一个基于角色的工具：可以用于创建策略，以启用所选服务器执行特定角色（如文件服务器、打印服务器或域控制器）时所需的服务、防火墙规则和设置。

使用 SCW 时应注意下列事项：

• SCW 禁用不需要的服务并提供对具有高级安全性的 Windows 防火墙的支持。
  
  
• 使用 SCW 创建的安全策略与安全模板不同，后者是扩展名为 .inf 的文件。安全模板包含的安全设置要多于可以使用 SCW 设置的安全设置。但是，可以在 SCW 安全策略文件中包含安全模板。
  
  
• 可以使用组策略来部署使用 SCW 创建的安全策略。
  
  
• SCW 不会安装或卸载服务器执行角色时所需的组件。可以通过服务器管理器安装角色特定的组件。
  
  
• SCW 将检测从属角色。如果选择了某个角色，SCW 将自动选择所有从属角色。
  
  
• 在运行 SCW 时，所有使用 IP 协议和端口的应用程序必须正在服务器上运行。 
  
  
• 在某些情况下，必须连接到 Internet，以使用 SCW 帮助中的链接。