Windows

Deny Interactive Logon for Service Accounts

Challenge Description Denying interactive logons for service account is a recognise industry best-practise which envisions to increase security within a Wintel environment.Security auditors trawling your environment for security flaws will most certainly identify the ability

Read More
Active Directory

File Server creates directory schema

1、目录结构的设计,从根目录到底层目录不要超过3-4层,太深了,权限难以操作。 2、用户所能够用到的策略,由共享权限和安全权限来决定,取其交集。如果在同一对象向上存在权限设置冲突,取并集 3、以部门架构设计目录结构的,以部门发生变化后,目录的最少移动或者不移动为优先 4、从根目录到底层目录,尽量保持继承,如果需要,底层断掉。如果目录结构不符合这一特性,应予以重新设计。 5、所有权限赋予都应以组为最小单位,哪怕使用者只有一个成员。 6、尽量简化权限设置复杂性,不论它是来自设计还是操作上的。如果不同的目录结构设计导致不同的结果,取最优者。 7、无论拥有多合理的备份,都请保留一份目录架构及权限设置清单。 8、在设置目录权限的时候,从根目录到子目录,由上至下逐层设置,不到万一,切忌向下对子目录套用权限。 另外要说到一个设立共享目录时遇到的权限及安全策略的问题,这也是很多朋友们经常问到的问题。当设置共享目录的时候,在设置权限的时候,需要设置两个权限:共享权限和安全权限。当用户连接这个目录时,系统先校验共享权限,如果允许访问再校验安全权限。 用户最终需要使用对该目录具有什么权限的帐户连接,取决于共享权限和安全权限的交集。当前两个权限在同一对象上发生冲突或者叠加时,取最严格的设置。这就是为什么有的朋友经常问,为什么我已经将权限设置为完全控制了,却还是无法写入?那么您可以注意一下共享权限可能设置为只读了。这同系统也有关系,在win2k上共享建立之初默认就是完全控制,而安全性更高的winxp and win2k3,默认状况下就是只读。 安全权限设置方面,如果在同一对象上,安全权限出现冲突或者叠加,那么最终的结果取合集。比如,一个用户属于a群组,也属于b群组,a群组对当前目录只读,而b群组可写,那么最终该用户对于当前目录就可读可写。 再就是安全策略的问题,上面我们说到winxp and win2k3在安全性上有很多改进,其中就包含一个安全策略:网路存取:共用和安全性模式用于本机帐户(抱歉,手边一时没有简体系统,这里所使用的是繁体词汇),winxp and win2k3上默认状态下,为安全起见,该策略项的设置为:仅使用于来宾-本机使用者以Guest验证。这个设置将会导致用户端在连接时候,远端主机提示存取被拒,或者用户名仅显示为Guest而无法更改。 您当然可以通过在远端主机上执行gpedit.msc,将此策略项的设置更改为:传统-本机使用者以自身身份验证,从而得以顺利连接,但有个更为方便的做法:在资源管理器-文件夹选项-高级 中取消勾选“简单文件共享”,在确定之后,您会发现上面的策略项已经发生了变化。这两个地方的设置是一一对应的,反之亦然。 最后一个经常出现问题的就是windows自带的防火墙。winxp and win2k3默认状态下,系统自带的防火墙处于启动状态,并且拒绝任何外部的文件和打印机连接的。一旦创建共享文件夹时,您可能需要关闭防火墙,当然关闭防火墙可能带来安全性问题,那么您可以执行firewall.cpl,在例外项目中设置启用“文件夹和打印机共享”,同时可以设置允许连接网段或者地址。

Read More
Active Directory

Configure the Server Certificate Template

To configure the certificate template On CA1, in Server Manager, click Tools, and then click Certification Authority. The Certification Authority Microsoft Management Console (MMC) opens. In the MMC, double-click the CA name, right-click Certificate Templates, and then click Manage.

Read More
IT operations

How to seize the Operations Master Role

操作主机是ActiveDirectory中的特殊对象,具备操作主机角色的域控制器担任着活动目录核心功能,如果操作主机不可用,整个活动目录都会出现异常,甚至崩溃。 操作主机角色的唯一性决定了不是任意一台域控制器都能管理整个域,当一台承担着操作主机角色的域控制器需要停机维护,就需要将主机角色转移到另一台正常运行的域控制器上;但是当承担操作主机角色的域控制器突然崩溃,无法正常运行,就需要使用强制手段占用操作主机,它被称为强制转移。

Read More