主要组
主要组是Windows2000引入的一个新的概念,这是指Macintosh 用户通常用来共享存储在服务器上的文档的组。在用户帐户中指定用户的主要组。用户在服务器上创建文件夹时,用户的主要组在默认情况下将被设置为文件夹的关联组。缺省情况下,所有Windows2000的用户的主要组都是Domain users。
查看或者修改用户的主要组
打开 Active Directory 用户和计算机。 在控制台树中,双击域节点,然后单击“users”。 在详细信息窗格中,右键单击要更改的用户,然后单击“属性”。 在“成员属于”选项卡的下方显示着用户当前的主要组。 如果要修改用户的主要组,单击要设置为用户主要组的组,然后单击“设置主要组”即可。
受限制组组策略
详情请阅中文NT资源网(Http://www.aboutnt.com)的《利用受限制的组策略确保安全》一文。
详细情况
我们发现,如果我们将用户从他所属的主要组中删除时,系统会提示如下错误:
这是成员的主要组,因此不能删除.请转到成员属性页的"成员属于"选项卡,将另一个组设为主要组.然后,您可以从该组删除成员.(当将用户从组的“成员”列表中删除时出现)
或者是:
无法删除主要组.如果要删除这个主要组,请将另一个组设为主要的.(当将组从“用户属于”列表框中删除时出现)
导致删除失败!我们可以利用这一点,阻止受限制组组策略生效。下面以一个例子说明:
假设DC管理员设置了组策略,使Domain Admins组中只有两个用户:管理员A和管理员B。通常情况下,当组策略生效时,系统会将Domain Admins组中除A和B外的其它用户都删除掉,从而保证了安全。
在组策略的刷新间隔这段时间内,用户C将自己加入到了Domain Admins组中(需要一定权限,如..),如同前面我们已经提到的,所有用户的缺省主要组都是Domain users,如果C不做更改,那么下一次组策略刷新时,C就会被系统从Domain Admins组中删除。为了防止这一点,用户C可以将自己的主要组设置为Domain Admins,这样当下一次组策略刷新时会因Domain Admins是用户C的主要组而不能够将用户C从Domain Admins删除,从而达到了阻止这一策略的目的。
当然这只能算是一个“歪点子”,系统的应用程序日志会记录下如下的错误信息:
事件类型: 警告 事件来源: SceCli 事件种类: 无 事件 ID: 1202 日期: 2001-6-14 事件: 12:36:10 用户: N/A 计算机: SERVER1 描述: 安全策略已传播,但有警告信息。 0x534 : 帐户名与安全标识间无任何映射完成。 有关详细信息,请查阅“安全设置帮助”中的“疑难解答”章节。
事件类型: 错误 事件来源: Userenv 事件种类: 无 事件 ID: 1000 日期: 2001-6-14 事件: 12:36:10 用户: NT AUTHORITY\SYSTEM 计算机: SERVER11 描述: 给组策略客户端扩展名 Security 传递了标志(17),并返回了失败状态代码(1208)。
在命令行下运行:
secedit /refreshpolicy machine_policy /enforce
将应用组策略的信息记录到LOG文件%windir%\security\logs\Winlogon.log,打开这个文件,你会发现类似下面的出错语句:
配置 MyDom\Domain Admins。 删除 C。 错误 1374: 无法在内置特殊组上运行此操作。 删除 C 的错误。
其中MyDom就是组策略运用的域的名字。如果运行上述命令没有产生LOG文件,将打开注册表,找到HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtension\{827...}(注册表中,GUID均以{827开头),增加一个双字节(DWord)值ExtensionDebugLevel并将其值设置为2再运行。
(出处:http://www.sheup.com)