如果我们在活动目录的组策略中禁止所有域用户本地登陆,那么连管理员都无法登陆了,
我们知道组策略的数据放在SYSVOL文件夹中,所以我们用一台机器访问域控制器(我以物理机做的),
具体那些数据放在哪个文件夹里我在网上找了一下,在没有创建组策略的域中默认只有两条组策略,以6开头的是域控制器的策略文件,那个以3开头的是域级别的策略
打开如下路径
打开如下路径
打开配置文件,SeDenyInteractivelogonRight是禁止交互登陆的选项,后面跟的是用户、组、计算机等实体的SID,我们可以用一个小工具[psgetsid]来查看实体的SID。删掉选中部分
然后我们刷新策略,可是我们连域控制器都登陆不了,怎么刷新呢,我们要打开域控制器的远程登陆服务
把telnet服务开启
然后我们telnet Florence 为什么登陆不了啊,仔细一看原来在网络上有Florence这台服务器,看它的ip,就是一个公网ip
这次我们用ip 登陆,果然上去了,这下我们就可以刷新策略了
怎么会有错误呢,我们来看一下事件查看器,原来它找不到文件,我们换个路径在刷新一下
好了这个实验就做完了,更加深入的知识代续...
