本地安全策略设置过程中不注意的话,会产生比较大的麻烦。一个例子:
单位一台运行 Windows 2000 Professional的机器,用户设置时出错,在“本地策略”中,把“用户权利分配”的“拒绝本地登录”项目设“Users,Guests,EveryOne”。导致注销后用户无法再次登录,系统提示“无法进行交互式会话”。设置项包含“EveryOne”使得所有账号都被禁止登录。 解决办法:Windows 2000将当前本地安全设置的数据记录存放在Windows系统目录system32下的config目录中,文件名SECURITY,只有将它修改正确才能正常登录。为简单起见,用系统初始配置覆盖它。由于机器使用FAT32格式,采用干净的Win98软盘启动,将Windows目录repair子目录下的SECURITY文件拷贝到config下覆盖出错文件。登录正常。
如果机器使用了NTFS格式,就必须用Windows 2000 安装软盘或者安装光盘启动。为了防止类似故障发生后一时找不到启动盘,难以快速解决问题,可以应用Windows 2000 故障恢复控制台特性。
2.Windows 2000故障恢复控制台
Windows 2000 故障恢复控制台是命令行控制台,可以从 Windows 2000 安装程序启动。使用故障恢复控制台,无需从硬盘启动 Windows 2000 就可以执行许多任务,可以启动和停止服务,格式化驱动器,在本地驱动器上读写数据(包括被格式化为 NTFS的驱动器),执行许多其他管理任务。如果需要通过从软盘或 CD-ROM 复制一个文件到硬盘来修复系统,或者需要对一个阻止计算机正常启动的服务进行重新配置,故障恢复控制台将特别有用。由于故障恢复控制台非常强大,只有通晓 Windows 2000 的高级用户才能使用。此外必须是管理员才有权使用故障恢复控制台。 可以从 Windows 2000 安装磁盘或者 Windows 2000 Professional CD 运行故障恢复控制台。作为备用选择,可以在计算机上安装故障恢复控制台,以便在不能重新启动 Windows 2000 时解决问题。这时只需从引导菜单上选中 Windows 2000 故障恢复控制台选项即可。在启动故障恢复控制台后,必须选择要登录的驱动器(如果有双重引导或者多重引导系统)且必须用管理员密码登录。
故障恢复控制台提供了一个命令行,这样在 Windows 2000 不启动时,就可以更改系统。一旦运行故障恢复控制台,在命令提示符下键入“help”可获得关于可用命令的帮助。要重新启动计算机,键入 exit 关闭命令提示符窗口。
将故障恢复控制台安装为一个启动选项,以便在计算机无法重新启动时,可以运行。安装为启动选项的方法:以管理员或具有管理员权限的用户登录 Windows 2000。将 Windows 2000 Professional 光盘插入 CD-ROM 驱动器。如果提示升级到 Windows 2000,单击“否”。 从命令提示符下(或从 Windows 2000 的“运行”命令框内)键入指向相应 Winnt32.exe 文件(在Windows 2000 光盘内)的路径,后跟一个空格和 /cmdcons 开关选项。例如:
e:\i386winnt32.exe /cmdcons
遵循出现的提示操作。
故障恢复控制台安装在根文件夹下 Cmdcons 文件夹内,包括根文件夹中的Cmldr 文件。Boot.ini 文件内包含故障恢复控制台的启动条目。
在Windows 2000的安全性无疑很高,但是,如果日常使用中不加注意的话,漏洞仍然存在,比如那些源自用户自己的问题。对于一般用户,笔者建议将控制面板的管理工具中的本地安全策略隐去,以免发生使用不当的问题。确实需要时可以从命令行[命令格式:c:winntsystem32secpol.msc /s]启动本地安全策略设置。