W2000. Локальные параметры безопасности.
3201
19
Люди помогите!!!
По своей глупости я в "Политике локальной безопасности" в разделе "Отклонить локальный вход" добавил "Пользователей прошедших проверку".

И теперь комп меня не подпускает к себе в соответствии с установленной политикой безопасности.

Что делать? Какие есть варианты?
GanKo
Хм... Глупо конечно, но звучит это примерно так же - "я по своей глупости закрыл снаружи дверь, а ключи засунул в квартиру"... Что делать, не знаю, наверное придется "вызывать службу спасения и дверь взламывать" ака переставлять систему... Или бэкап накатить, если есть...
GanKo
Сервер?
Контроллер домена?
Или проф?
GanKo
ИМХО либо грузится с другого носителя и править реестр (где - не знаю) или переставлять.
Крыска
W2000 Pro - рабочая станция.
Файловая система NTFS.

Что теперь делать? Может подключить винт к другому компу7 И что там надо найти и где исправить?
GanKo
Хм.. Тебе крупно повезло! Я про то, что это просто WS, а не контроллер домена! А то я где-то встречал такие вопросы вроде "Я прописал группе Administrators права на домен-контроллере Deny Logon Locally и Deny Access from network, что делать?" :ха-ха!: :ха-ха!: :ха-ха!:

Я думаю, что у тебя самое простое решение - прицепить винт к другом компу и сбросить все нужные данные, а потом переставить систему:улыб:Только не надо говорить, что это трудно, и что есть проги, от которых нет дистрибутивов:улыб:(ИМХО от всего софта, который ставится на комп надо обязательно оставлять дистрибы, т.к. никакая система вечно не живет, и рано или позно требует переустановки, особенно 9х :ха-ха!: :ха-ха!:)

ЗЫ: ИМХО редактировать group policy компа на другом компе нереально, т.к. ты не сможешь ее ему подсунуть, да и SID-ы у машин не совпадают... Так что - переустановка.
netghost
Хммм... Не хотелось бы мне оказаться в такой ситуации...

Собственно, просто мысли...

Можно поискать утилитку, правящую реестр удаленно...

Либо, если тачка позволяет подцепиться к ней через сеть, то вполне можно подсадить какого-нибудь самописанного трояна, который запустит от имени системы соответствующий рег-файл до логина... Ну, что-то в этом роде, в общем...

Хотя, я бы тоже переставила систему, и не заморачивалась. Нет таких дистрибутивов, которые нельзя было бы найти.
Крыска
УРА!!!! Я его запинал.
Всё оказывается гораздо проще.
Вот мои пошаговые действия:
1. Снимается винт и ставится на любой работающий комп.
2. Файл хозяина %WIN%\Security\Database\secedit.sdb переименовывется (прячется)
3. На его место пишется свой "убитый".
4. Запускается Администирирование - Локальная политика безопасности и в ветке Назаначение прав пользователя - Отклонить локальный вход убирается всё к чёртовой матери.
5. Выходим из администрирования.
5. Свой файл secedit.sdb пишется на свой винт. Файл хозяина возвращается на место.
6. Винт ставится на родной комп и всё работает!!! :ха-ха!:
GanKo
Ей-Богу, я была лучшего мнения о Майкрософте.

Безопасность, мля...
Крыска
Да.
Но у нас на сервере взведён флаг, что локальные пользователи могут менять политику безопасности. А вот если через сервер это запретить, то придётся идти в другую группу...
GanKo
Можно еще попробовать ERD Commander.
Вроде там можно с реестром подопечной системы(ах) манипулировать.
Это загрузочный СД-вариант системы с некоторыми утилитами.

К стати.
Есть ли у кого 2003-ий? У меня 2002-ой.
Крыска
Ну а с другой стороны при физическом доступе к компу, на которой стоит система, тебе в общем-то никто не гарантирует безопасности. Так что на мой взгляд тут выпад в сторону MS напрасен.
Barlog
Дурость хранить такие настройки в отдельном файле, а не в реестре хотя бы...
Крыска
А кто-нибудь пробовал ставить 2000-ый сервер с другой (не NTFS и, тем более, FAT32) файловой системой с более высоким уровнем безопасности?
Забыл только как она называется.
ganymed
Впервые слышу, что 2000-я поддерживает какие-либо другие типы файловых систем, кроме ФАТ и НТФС.
Крыска
Впервые слышу, что 2000-я поддерживает какие-либо другие типы файловых систем, кроме ФАТ и НТФС.
Вспомнил. Называется EFS. Все данные на диске шифруются, по моему, одним из трех алгоритмов.
Что, никто не слышал о такой ФС?
GanKo
можно было еще файл SAM убить на другой машине и на старой грузанутся, тоже бы вошел....
Dimon
не... sam эта када пароль админа забыт... там другая ситуёвина
ganymed
эээ...это совсем даже не ФС Ж-)
почитай.
http://www.3dnews.ru/software/win-xp-encrypting/
там уже свои тараканы...и если эту криптографию бездумно пользовать то шансы потерять свои данные очень не хилые.
cyberhawk
Ага:улыб:если ключи не экспортировать то при крахе системы можно будет забыть про свои файлы. Но вообще если требуется повышенная защищенность данных то поднимаешь EFS только не забывая про агента восстановления...