[摘要]大家在登陆终端的时候或许会出现如下图的错误提示。好不容易得到了一台配置比较好的肉鸡,却出来这样的提示,是不是很恼人? 象上面这样的情况应该说是很普遍的,也经常很多朋友在论坛上提出这样的问题,但是似乎...
大家在登陆终端的时候或许会出现如下图的错误提示。好不容易得到了一台配置比较好的肉鸡,却出来这样的提示,是不是很恼人?
象上面这样的情况应该说是很普遍的,也经常很多朋友在论坛上提出这样的问题,但是似乎没有什么好的解决办法。所以这次拿自己最好的肉鸡开了一次刀,以探究问题的产生原因以及解决办法,在这这次经历中得到了很多经验和教训,不敢独享,所以拿来和大家交流下,一起进步才是最重要的。
一:失“鸡”
为了研究交互登陆问题,我忍痛把自己配置最好的肉鸡拿出来当了实验品,当然为了解决问题,还是值得的!研究交互登陆问题,我们首先要安装Active Directory,即活动目录,步骤如下:
1:“开始-程序-管理工具”,选择“配置服务器”,出现新窗口。
2:选择“Active Directory”,出现新的窗口,我们选择“启动Active Directory向导”,然后一直默认选项,直到出现要下面的图片 这里需要指定一个DNS名,因为是肉鸡嘛,所以我是随便设置的,比如是我的站地址longker.com,这里也可以随便设置一个的,因为是测试嘛,你可以按自己的实际情况来设定的,输入后又是一路回车,直到出现如下窗口 又是一路回车,到最后一步开始配置阶段,需要的时间还是挺多的,请耐心等待,我则是顺便去聊天室找了个MM聊天。过了一会配置完全,重起后设置开始生效。
重起后,用终端客户端登陆,我们先来比较下设置前后登陆窗口的不同,显然多了个选项,就是我们在设置活动目录时设置的那个WWW域。
输入自己原来克隆的Guest帐户和密码,居然说帐户被禁用,幸亏事先留了后门,telnet后把帐户激活登陆,发现我们在文章最前面提到 “本地权限不允许交互登陆”现象出现了。那么我们经常在论坛看到成员发帖子说“为什么我克隆了帐户登陆的时候却提示不能进行交互登陆”的现象就可以有个明确的答案了,那是因为对方主机安装了活动目录(AD)或者说是一个域控制器(DC),而自己克隆的帐户没有在域安全策略里进行设置,所以就产生了如上的现象。难道就眼看着自己最好的肉鸡死掉?当然是不甘心的,塞翁失马,焉知非福嘛,以下就来探究此类问题的解决办法。 二:失而复得 由于我们不能登陆终端进行对域安全策略的设置,因此给问题的解决造成了一定的难度。如果是可以终端登陆的情况,那就简单了,如果不能终端登陆,那情况就稍微复杂些,以下我们分两种情况来讨论: 1:可以使用终端登陆 或许有这样的情况,你在肉鸡上多加了个用户,但是用它却不能进行交互式登陆,但是可以用原来的帐户登陆终端,这样的情况解决方法如下面步骤:
因为默认情况下,普通用户是无权在域控制器(DC)上交互式登陆的,要赋予用户在DC上交互登陆的权利,需要打开“控制面板”---“管理工具”—“-域控制器安全策略”----“安全策略”----“本地策略”---“用户权利指派”---“允许在本地登陆”项添加允许登陆的用户。那如果我们新增一个用户或者是克隆一个帐户的话,默认情况就没有在域安全策略里进行设置,也就无法进行交互式登陆了。我们按照实际情况添加允许登陆的帐户后,需要用“Seceidt /refreshpolicy machine_policy”命令来刷新安全策略设置,或者是“Seceidt /refreshpolicy machine_policy /enforce”强制刷新安全策略设置,问题就这样解决了。(注:Secedit.exe是Win2K自带的自动化安全配置任务命令管理工具,功能很强大,我们可以用他来分析、配置、刷新、导入、导出、验证系统安全配置。具体用法可以使用“Secedit /?”查看其帮助文件) 2:不能使用终端登陆的情况 不能使用自己的帐户进行登陆,确实有点麻烦,我们总不能找肉鸡的管理员让他把你加到允许交互登陆的组吧?但是实际上,情况并没有我们想象的那样糟糕,经过一番测试和思考,发现我们可以借助ipc$以及远程执行命令来解决这个问题,由于域安全策略和本地安全策略的不同,我们也将分两部分来讨论。 ① 被域策略拒绝本地登陆的解决办法:
域安全策略的配置文件是保存在一个名为“GptTmp1.inf”的安全模板里(一般在winnt\sysvol\sysvol下)我们可以用记事本打开,直接来编辑,由于我们不能登陆肉鸡,所以我们可以通过ipc$连接,把肉鸡的GptTmp1.inf文件copy到本机,用记事本打开,找到文件中“Privilege Rights”项下的“SeDenyInteractiveLogonRight”关键字,它的值就是被拒绝本地登陆的用户或者是组的SID,我们可以把这些SID删除,但是注意不要删除该关键字,修改完毕后放回肉鸡覆盖原文件。同样再打开GPT.INI文件,提高“General”下“Version”关键字的值,通常是加1000,修改完毕放回肉鸡覆盖原文件。(为了安全性,请实现备份这两个文件)。然后用“Seceidt /refreshpolicy machine_policy /enforce”刷新策略,问题就解决了。 ②被本地安全策略拒绝交互登陆的情况
我们先与肉鸡建立ipc连接,然后使用Pstool里的psexec.exe开启远程命令行,假设肉鸡IP是111.111.111.111,用户名和密码分别是longker和love,这样来:
net use \\111.111.111.111\ipc$ “love” /u: “longer”
psexec \\111.111.111.111 cmd.exe 这样就启动了远程命令行,接着我们把肉鸡的本地安全策略用secedit导出来,格式是“Secedit /export /CFG c:\winnt\longker.inf”,这样就把肉鸡的本地安全策略配置导出到了肉鸡“c:\winnt\longker.inf”安全模板里,然后把肉鸡上的longker.inf拷贝到本机进行编辑,具体是找到找到文件中“Privilege Rights”项下的“SeDenyInteractiveLogonRight”关键字,它的值就是被拒绝本地登陆的用户或者是组的SID,我们可以把这些SID删除,但是注意不要删除该关键字,修改完毕后放回肉鸡覆盖原文件longker.inf。然后在刚才打开的远程命令行里执行“Secedit /configure /db c:\secedit.sdb /CFG c:\winnt\longker.inf”命令。最后用“Seceidt /refreshpolicy machine_policy /enforce”刷新策略配置,问题就这样解决了。我们的肉鸡又回来了,又可以使用终端进行管理了,Cheer! 三:总结 经过这次肉鸡的失而复得,积累了更多的经验和教训,塞翁失马,焉知非福。还是一句话,如果能多思考,多动手,再难的问题也是可以解决的,每一次实践就是一次学习的机会,我们的身边就有许多这样的机会,就看你能不能抓住了。由于写文章正值考试期间,错误之处难免,如果有什么不当的地方,请与我交流。
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
……