在注册表的某些关键项(譬如:System、Root),连Administrator都没有权限进行修改,因为只有“system”有权限。
【方法一】
使用 psexec.exe,以 system 身份打开 regedit.exe,这样便可以直接修改,
命令:
psexec.exe -i -d -s regedit.exe
快捷备份以及恢复系统驱动程序
Export-WindowsDriver -Online -Destination D:\DriverBackup
pnputil /add-driver D:\DriverBackup\*.inf /subdirs /install
Notice that in Active Directory Users and Computers (ADUC) when setting the expiration of a user account, there’s only a way to have the account expire at the end of a specific day:
In my case Application was using Port 25 and using the app custom connector on load balanced Exchange 2016 servers and message rate limit was set to unlimited.
Get-ReceiveConnector SERVERNAME\* | FT Name,bindings,MessageRateLimit |
Denying interactive logons for service account is a recognise industry best-practise which envisions to increase security within a Wintel environment.Security auditors trawling your environment for security flaws will most certainly identify the ability for service accounts to logon interactively to LAN machines as a security breach. There are several reasons why this is the case, the most obvious potentially being the fact that when service accounts are used to logon interactively, this generally means that the service account’s credentials have been or are likely to be made available to a number of different people, and having different people accessing devices and performing configurations and data manipulation with a shared login defeats the information-security benefits of traceability and accountability.
Because, unless you have a decent automated pa Read more…
Notice that in Active Directory Users and Computers (ADUC) when setting the expiration of a user account, there’s only a way to have the account expire at the end of a specific day:
The same option exists in the Active Directory Administrative Center (ADAC):
1、目录结构的设计,从根目录到底层目录不要超过3-4层,太深了,权限难以操作。
2、用户所能够用到的策略,由共享权限和安全权限来决定,取其交集。如果在同一对象向上存在权限设置冲突,取并集
3、以部门架构设计目录结构的,以部门发生变化后,目录的最少移动或者不移动为优先
4、从根目录到底层目录,尽量保持继承,如果需要,底层断掉。如果目录结构不符合这一特性,应予以重新设计。
5、所有权限赋予都应以组为最小单位,哪怕使用者只有一个成员。
6、尽量简化权限设置复杂性,不论它是来自设计还是操作上的。如果不同的目录结构设计导致不同的结果,取最优者。
7、无论拥有多合理的备份,都请保留一份目录架构及权限设置清单。
8、在设置目录权限的时候,从根目录到子目录,由上至下逐层设置,不到万一,切忌向下对子目录套用权限。
另外要说到一个设立共享目录时遇到的权限及安全策略的问题,这也是很多朋友们经常问到的问题。当设置共享目录的时候,在设置权限的时候,需要设置两个权限:共享权限和安全权限。当用户连接这个目录时,系统先校验共享权限,如果允许访问再校验安全权限。
用户最终需要使用对该目录具有什么权限的帐户连接,取决于共享权限和安全权限的交集。当前两个权限在同一对象上发生冲突或者叠加时,取最严格的设置。这就是为什么有的朋友经常问,为什么我已经将权限设置为完全控制了,却还是无法写入?那么您可以注意一下共享权限可能设置为只读了。这同系统也有关系,在win2k上共享建立之初默认就是完全控制,而安全性更高的winxp and win2k3,默认状况下就是只读。
安全权限设置方面,如果在同一对象上,安全权限出现冲突或者叠加,那么最终的结果取合集。比如,一个用户属于a群组,也属于b群组,a群组对当前目录只读,而b群组可写,那么最终该用户对于当前目录就可读可写。
再就是安全策略的问题,上面我们说到winxp and win2k3在安全性上有很多改进,其中就包含一个安全策略:网路存取:共用和安全性模式用于本机帐户(抱歉,手边一时没有简体系统,这里所使用的是繁体词汇),winxp and win2k3上默认状态下,为安全起见,该策略项的设置为:仅使用于来宾-本机使用者以Guest验证。这个设置将会导致用户端在连接时候,远端主机提示存取被拒,或者用户名仅显示为Guest而无法更改。
您当然可以通过在远端主机上执行gpedit.msc,将此策略项的设置更改为:传统-本机使用者以自身身份验证,从而得以顺利连接,但有个更为方便的做法:在资源管理器-文件夹选项-高级 中取消勾选“简单文件共享”,在确定之后,您会发现上面的策略项已经发生了变化。这两个地方的设置是一一对应的,反之亦然。
最后一个经常出现问题的就是windows自带的防火墙。winxp and win2k3默认状态下,系统自带的防火墙处于启动状态,并且拒绝任何外部的文件和打印机连接的。一旦创建共享文件夹时,您可能需要关闭防火墙,当然关闭防火墙可能带来安全性问题,那么您可以执行firewall.cpl,在例外项目中设置启用“文件夹和打印机共享”,同时可以设置允许连接网段或者地址。
When you try to make some system changes on your computer, you may get the following or similar error message basically stating that your operation is being blocked by group policy.
“The command prompt has been disabled by your administrator”
“Some settings are managed by your organization”
“This program is blocked by group policy. For more information, contact your system administrator.”
即使你不打算对CA做迁移,你也应该对CA做一个备份,CA的备份与我们通常所进行的备份时不同的,CA的备份需要通过以下的步骤实现:
如果你正准备备份一个企业CA,在CA控制台中点击证书模板,然后记录下证书模板中列出的名称。这些模板都是存储在AD域中的,所以你不需要对它们进行备份。你必须要清楚的知道进行迁移的模板有哪些是由CA发布的,因为你必须在迁移之后手动的添加这些模板。
在CA控制台,右键点击CA名称,选择”所有任务”,然后点击”备份CA”打开CA备份向导,在备份向导中,你需要选择备份CA的私钥,CA证书,证书数据库以及证书数据库日志。你还可以指定一个合适的备份内容的存放位置,考虑到安全性因素,最好设定密码对CA私钥进行保护。
在完成备份之后,你应该打开注册表编辑器,找到并导出以下的注册表的子键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
注意:我们推荐将该注册表键值的导出文件保存到CA备份的文件夹中。
做完上面的操作后,一旦你想将CA迁移到其他的电脑,你需要将CA从旧的服务器上卸载,然后将旧 服务器重命名或断开它的网络连接。
CA还原
CA的还原通常是在必须修复当前CA或需要迁移到其他服务器时进行的。
还原CA需按照以下步骤操作:
在目标计算机上安装AD CS角色。选择安装独立CA或者企业CA,这取决于你需要迁移的CA的类型。当你见到”指定私钥类型”页面时,点击”使用现有私钥”,然后选中”选择一个证书并使用其关联私钥”,这样可以让你在新的CA服务器上继续使用原来旧服务器的证书。
在”现有证书”页面,点击导入,输入备份CA时生成.p12文件的存储路径,接着输入备份时设定的密码,然后点击确认,当你被提示”公钥和私钥秘钥对”时,确保选中了现有秘钥,如果你想使用相同的根CA证书,这个步骤非常关键。
当你进入到”证书数据库”页面,指定一个和旧服务器相同的存放位置去存放证书数据库和证书数据库日志,这些步骤都完成后,点击”配置”,等待安装向导的执行完毕。
安装完成后,打开AD CS服务的服务插件,还原旧服务器的设置。
找到备份时导出的注册表文件,然后双击将它导入到注册表中。
还原了注册表设置后,打开CA管理控制台,右键点击CA名称,点击”所有任务”,接着点击”还原CA”,这时会出现CA还原向导,在向导中你可以选择”私钥和CA证书”和”证书数据库和证书数据库日志”,这里是为了指定你想要还原的对象。下一步就输入一个备份文件夹位置并确认还原的设置没有问题。还原设置中”颁发日志”和”挂起申请”应该是”显示”。
当还原完成后,选择重启AD CS服务。
如果你还原的是企业CA,你需要确认之前记录的AD域中保存的证书模板在新的CA上能够看到,并且是可用的。
Use of DCPROMO is still the proper way to remove a DC server in an Active Directory infrastructure. Certain situations, such as server crash or failure of the DCPROMO option, require manual removal of the DC from the system by cleaning up the server’s metadata. The following detailed steps will help you accomplish this:
