DC下无法修改localsecuritypolicy

DC下无法修改localsecuritypolicy

* 来源: * 作者: * 发表时间: 2019-11-08 1:11:43 * 浏览: 0

问题:今天我在客户那里遇到一个奇怪的问题,想请教一下大家怎么搞?环境是Windows 2003 DC,Windows XP and Windows 2003 客户端,补丁都到最新了。问题在于不能在 local security policy 里修改user rights assignment 的那些设置。比如,在一个XP客户端上,打开"Local Security Policy" console, 去到 "user rights assignment " -> "Deny Log On Locally", 我可以看见有些用户列在里面,我可以点击 Remove 把他们移除,也可以点 Add 来多加用户,到这里都是正确的。然而,如果我关掉"Local Security Policy" 管理器,再重新打开,我发现前面移除的用户都回来了。但是前面加的用户却都还在。总结一下现象,就是我只能添加用户,不能移除用户,无论客户端在不在域里都有这个问题。请高手指教。

回答:方法1,c:\Windows\security\database\secedit.sdb,是不是这个数据库坏了,用esentutl.exe 检查看看?说道本地安全策略,我能想到就是这个。方法2,之前碰过客户端本地策略出问题的,copy了个secedit覆盖了就好了。方法3,KB是找到了 http://support.microsoft.com/kb/914041
那只能祭出Procmon.exe 看看有什么诡异的现象了。最后祝你好运。