下面研究的是在Windows 2003中 在禁止everyone本地登录后,有关的解决方案。
 
首先禁用everyone登录,如下图所示,可以在对象中加入users组,因为所有用户默认都属于users组,权限规则又是严格权限优先,所以现在只要注销,任何机子都登不进去.
拦不住我的本地组策略_休闲
下图是应用策略后,administrator都进不去系统
拦不住我的本地组策略_组策略_02
出现这样的状况一般是由于管理员的误操作导致的,因为普通用户是没有权限更改组策略的。既然这样,那按理说管理员是知道自己的帐户的密码的,那现在我们只要telnet到这个计算机,然后修改它的策略就行了 
先来补充一个知识点:命令行下的组策略 secedit
组策略是建立Windows安全环境的重要手段,尤其是在Windows域环境下。一个出色的系统管理员,应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc,命令行下用secedit.exe
secedit命令语法:
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。
与访问注册表只需reg文件不同的是,访问组策略除了要有个模板文件(还是inf),还需要一个安全数据库文件(sdb)。要修改组策略,必须先将模板导入安全数据库,再通过应用安全数据库来刷新组策略
 
看了这些大家都应该知道怎么做什么了吧,就是用上面的命令来修改被锁住的计算机策略。
基本步骤如下:
1   telnet到远程计算机
2   导出组策略配置
3   修改组策略配置
4   应用新的组策略配置
 
先找一台同子网的计算机 ,用管理工具来连接远程计算机的管理工具
拦不住我的本地组策略_休闲_03
启动远程计算机的telnet服务(远程登录)
拦不住我的本地组策略_组策略_04
然后,telnet到远程计算机,拦不住我的本地组策略_组策略_05
第一步已经完成,成功登录到了远程计算机,下一步就是导出组策略的配置,但之前首要先创建一个共享文件夹来存放导出的配置文件拦不住我的本地组策略_休闲_06
然后,进入test文件夹,输入secedit  /export 就可以看到到处配置文件的示例啦
拦不住我的本地组策略_组策略_07
 
按照示例,我们输入 secedit  /export  /cfg  secedit.inf 就可以导出数据库模板文件了
系统默认的安全数据库位于%windir%\security\database\secedit.sdb,这里没有用/db参数指定数据库就是采用默认的。
拦不住我的本地组策略_休闲_08
接下来就可以在test文件夹中看到sec.inf文件了。不过Windows2003 的默认共享是everyone只读哦,所以我们还要用管理工具连接到远程计算机修改它的共享权限,给这台远程计算机的管理员有一个更改权限
拦不住我的本地组策略_休闲_09
这样我们就可以通过共享文件夹来修改sec.inf文件了。在sec.inf文件中找到
SeDenyInteractiveLogonRight”字段,删掉右侧的users组的SID就可以啦
拦不住我的本地组策略_组策略_10
保存后,在telnet会话中输入  secedit  /configure  /db sec.sdb  /cfg sec.inf