刪除windows用戶時提示 用戶不屬于此組 解決方法
2019-11-28 04:16:31
供稿:網友
問題:
近日我在公司的服務器里發現了這個用戶帳戶server$����,估計的被人當成肉雞了……
這個帳戶不屬于任何組����,不屬于GUESTS����,也不屬于ADMINISTRATORS�,但權限是管理員的權限�����。
然后我就刪除這個帳戶��,可問題是刪不掉(但可以重命名和禁用)����,提示說“用戶不屬于此組”,CMD下刪除也是同樣的提示�。我就試著把Server$添加到其他的組,再打開的“屬性”對話框��,單擊切換到“隸屬于”�����,里面依然空空的���。
心想可能是在注冊表里改了���,可到注冊表里發現sam下沒有任何鍵值了�����。
怎么才能刪掉這個帳戶呀����?�����?����?
答案:
1、運行regedt.exe注冊表編輯器�,選擇HKEY_LOCAL_MACHINE→SAM→SAM�����,點鼠標右鍵�����,在彈出的菜單上的選擇“權限”�,更改Administrators的權限為完全控制��。退出注冊表編輯器����。
2��、再次運行regedit�,查看
HKEY_LOCAL_MACHINE→SAM→SAM→Domains→Account→Users→Names�����,找到Server$的類型值���,刪除和它相對應的Domains/Account/Users里的項和Domains/Account/Users/Names/Server$項本身�。退出注冊表編輯器��。
3��、再次運行regedit,和第1步類似,選擇HKEY_LOCAL_MACHINE→SAM→SAM�,點鼠標右鍵���,在彈出的菜單上的選擇“權限”�,取消Administrators的完全控制權限�,改為只有:寫入 DAC 和 讀取控制。退出注冊表編輯器�,重啟電腦即可��。
服務器被入侵了不想多說了最近事好多��。����。。
最近�����,發現一臺服務器里多了幾個用戶帳戶����,如server$、admin$等�����,估計的被人攻擊了�,被當成肉雞了……
這幾個帳戶不屬于任何組,不屬于GUEST���,也不屬于ADMINISTRATOR,但權限是管理員的權限。當我刪除這些帳戶����,就是刪不掉(但可以重命名和禁用)����,提示說“用戶不屬于此組”��,在CMD下用Net user命令刪除���,也是同樣的提示��。我就試著把Server$添加到其他的組,再打開的“屬性”對話框�,單擊切換到“隸屬于”�,里面依然空空的��。
怎么才能刪掉這個帳戶呀?����?�?
注意:一定要先把那個對應的那些亂78糟的0000xxx這些找好�����。記他們不然就要麻煩了�。
運行regedt32.exe���,找到本地機器上的HKEY_LOCAL_MACHINE表�,選中SAM-SAM,右鍵點擊,選擇權限����,更改Administrators的權限為完全控制(在“高級”中)��。
運行regedit查看SAM里的Domains/Account/Users/Names/Server$的類型值刪除和它相對應的Domains/Account/Users里的項和Domains/Account/Users/Names/Server$項本身;
回到regedt32,恢復sam-sam的權限為:寫入DAC 和 讀取控制�����。
重啟系統搞定����。
----------------------------------------------------------------------------------------------------------
如果您是一名網絡管理員,請保持經常檢查服務器帳戶的良好習慣�����,如果您看到一名陌生的帳戶�����,而且發現這名帳戶不屬于任何用戶組的時候,那么恭喜你����,你的管理員帳戶可能被克隆了��,該用戶很可能擁有服務器的超管權限��,因為那是通過克隆你的超管帳號的sam信息建立的帳戶,該用戶不屬于任何用戶組,使用用戶管理器或命令行下刪除該用戶時將提示“用戶不屬于此組”���,正確刪除方法如下:
運行注冊表編輯器,依次展開HKEY_LOCAL_MACHINE/SAM/SAM,右鍵點擊�,選擇權限����,更改Administrators的權限為完全控制.刷新后依次展開該項下的的Domains/Account/Users/Names/ 刪除該子項下的陌生帳號及與之相對應的Domains/Account/Users里的項;返回���,刪除administrator在HKEY_LOCAL_MACHINE/SAM/SAM下的權限�。
重啟系統搞定。
補充一下���,以便于大家回答,本來是可以在注冊表中��,將些賬號刪除
過程我想大家想知道了���,我要么再羅嗦一下�,
1.在cmd下進入regedt32下提高sam/sam文件夾的權限(在菜單的“安全”里),提高到當前用戶完全控制,關掉(要不這么做regedit中HKEY_local_machine/sam/sam是沒有權限查看的?��。?
2.進入regedit中HKEY_local_machine/sam/sam/domains/account/users/names/那個黑賬號,刪除它,刪除前先看一下其對應的文件夾,在HKEY_local_machine/sam/sam/domains/account/users下,一起刪除掉。
