本地安全策略設置過程中不注意的話,會產生比較大的麻煩。一個例子: 單位一台運行 Windows 2000 Professional的機器,用戶設置時出錯,在“本地策略”中,把“用戶權利分配”的“拒絕本地登錄”項目設“Users,Guests,EveryOne”。導致注銷後用戶無法再次登錄,系統提示“無法進行交互式會話”。設置項包含“EveryOne”使得所有賬號都被禁止登錄。 解決辦法:Windows 2000將當前本地安全設置的數據記錄存放在Windows系統目錄system32下的config目錄中,文件名SECURITY,只有將它修改正確才能正常登錄。為簡單起見,用系統初始配置覆蓋它。由於機器使用FAT32格式,采用干淨的Win98軟盤啟動,將Windows目錄repair子目錄下的SECURITY文件拷貝到config下覆蓋出錯文件。登錄正常。 如果機器使用了NTFS格式,就必須用Windows 2000 安裝軟盤或者安裝光盤啟動。為了防止類似故障發生後一時找不到啟動盤,,難以快速解決問題,可以應用Windows 2000 故障恢復控制台特性。 2.Windows 2000故障恢復控制台 Windows 2000 故障恢復控制台是命令行控制台,可以從 Windows 2000 安裝程序啟動。使用故障恢復控制台,無需從硬盤啟動 Windows 2000 就可以執行許多任務,可以啟動和停止服務,格式化驅動器,在本地驅動器上讀寫數據(包括被格式化為 NTFS的驅動器),執行許多其他管理任務。如果需要通過從軟盤或 CD-ROM 復制一個文件到硬盤來修復系統,或者需要對一個阻止計算機正常啟動的服務進行重新配置,故障恢復控制台將特別有用。由於故障恢復控制台非常強大,只有通曉 Windows 2000 的高級用戶才能使用。此外必須是管理員才有權使用故障恢復控制台。 可以從 Windows 2000 安裝磁盤或者 Windows 2000 Professional CD 運行故障恢復控制台。作為備用選擇,可以在計算機上安裝故障恢復控制台,以便在不能重新啟動 Windows 2000 時解決問題。這時只需從引導菜單上選中 Windows 2000 故障恢復控制台選項即可。在啟動故障恢復控制台後,必須選擇要登錄的驅動器(如果有雙重引導或者多重引導系統)且必須用管理員密碼登錄。 故障恢復控制台提供了一個命令行,這樣在 Windows 2000 不啟動時,就可以更改系統。一旦運行故障恢復控制台,在命令提示符下鍵入“help”可獲得關於可用命令的幫助。要重新啟動計算機,鍵入 exit 關閉命令提示符窗口。 將故障恢復控制台安裝為一個啟動選項,以便在計算機無法重新啟動時,可以運行。安裝為啟動選項的方法:以管理員或具有管理員權限的用戶登錄 Windows 2000。將 Windows 2000 Professional 光盤插入 CD-ROM 驅動器。如果提示升級到 Windows 2000,單擊“否”。 從命令提示符下(或從 Windows 2000 的“運行”命令框內)鍵入指向相應 Winnt32.exe 文件(在Windows 2000 光盤內)的路徑,後跟一個空格和 /cmdcons 開關選項。例如: e:\\i386\winnt32.exe /cmdcons 遵循出現的提示操作。 故障恢復控制台安裝在根文件夾下 \Cmdcons 文件夾內,包括根文件夾中的Cmldr 文件。Boot.ini 文件內包含故障恢復控制台的啟動條目。 在Windows 2000的安全性無疑很高,但是,如果日常使用中不加注意的話,漏洞仍然存在,比如那些源自用戶自己的問題。對於一般用戶,筆者建議將控制面板的管理工具中的本地安全策略隱去,以免發生使用不當的問題。確實需要時可以從命令行[命令格式:c:\winnt\system32\secpol.msc /s]啟動本地安全策略設置。
