以下解法是發生0x4b8延伸錯誤才有效
事件類型: 警告
事件來源: SceCli
事件類別目錄: 無
事件識別碼: 1202
日期: 2010/6/25
時間: 下午 03:41:29
使用者: N/A
電腦: CAROL-computer
描述: 安全性原則傳播中含有警告。 0x4b8 : 發生延伸錯誤。
引述自http://support.microsoft.com/kb/278316/en-us
To resolve this issue, use the procedure described in this section to re-create the local Group Policy file.
Important Implementing a security template on a domain controller may change the settings of the Default Domain Controller Policy or Default Domain Policy. The applied template may overwrite permissions on new files, registry keys and system services created by other programs. Restoring these policies might be necessary after applying a security template. Before performing these steps on a domain controller, create a backup of the SYSVOL share.
Note When you use the following procedure, your computer is returned to the original installation state where the Local Security Policy is not defined. (Note:我的狀況是做完之後設定還在) You may have to start your computer in Safe mode to rename or move files. For additional information about how to do this, see Windows 2000 Help.
1. Open the %SystemRoot%\Security folder, create a new folder, and then name it "OldSecurity".
2. Move all of the files ending in .log from the %SystemRoot%\Security folder to the OldSecurity folder.
3. Find the Secedit.sdb file in the %SystemRoot%\Security\Database folder, and then rename this file to "Secedit.old".
4. Click Start, click Run, type mmc, and then click OK.
5. Click Console, click Add/Remove Snap-in, and then add the Security and Configuration snap-in.
6. Right-click Security and Configuration and Analysis, and then click Open Database.
7. Browse to the %TEMP% folder, type Secedit.sdb in the File name box, and then click Open.
8. When you are prompted to import a template, click Setup Security.inf, and then click Open.
9. Copy %TEMP%\Secedit.sdb %SystemRoot%\Security\Database.
2010年6月25日 星期五
IE 如果開啟連線-->區域網路設定-->自動偵測設定打勾得話可能會造成無謂的網路流量(WPAD)
如果在AD環境中沒有架設proxy server上網得話,請勿將IE(或其它browser) 連線-->區域網路設定-->自動偵測設定選項打勾,因為其會造成無謂的網路流量而且可能會有安全的問題。
情境如下
企業環境中有架AD、無Proxy servr、Domain=abc.com.tw、自動偵測設定選項打勾
因為IE browser支授WPAD,所以當開IE時,其自動找wpad.abc.com.tw,如果沒有就會去找wpad.com.tw,如此就會產生連出去的無謂的網路流量。
解法:自動偵測設定選項不要打勾就好。
微軟的幾項建議措施:
• 未設定主要DNS尾碼的使用者不受此問題影響
• DNS名稱為第二級網域(SLD)者不受影響,例如:contoso.com、fabrikam.gov這些。(三級含以上就會)
• 透過DHCP取得代理伺服器設定值的使用者不受影響。
• 單位內已經存在並使用正常的WPAD伺服器者不受影響。
• 在IE中手動設定代理伺服器者不受影響。
• 使用IE上網,且在IE中關閉'自動偵測設定'者不受影響。
詳細說明如下:引述自http://www.itis.tw/node/1295
新聞來源: 資安之眼
隨著Windows被爆出解析主機名稱時未包含完整名稱(FQDN)的問題,微軟發佈了一個安全警告回應相關問題及提供發佈修補前的措施。
在駭客Beau Butler於紐西蘭Kiwicon 2007大會上爆料的兩週後,微軟才發佈了這個警告。
在微軟的警告中提到:
惡意使用者可以架設一台WPAD伺服器並偽裝為代理伺服器,藉此針對那些次級網域發動中間人攻擊(man-in-the-middle attacks)。當使用者設定了主要的DNS尾碼時(DNS suffix),Windows的解析器會嘗試利用所有次網域進行解析。舉例來說,如果DNS尾碼為corp.contoso.co.us,當試著解析 wpad名稱時,DNS解析器會送出wpad.corp.contoso.co.us ,如果找不到,接著會嘗試wpad.contoso.co.us請求,如果還是找不到,接著會嘗試wpad.co.us,即使它不屬於 contoso.co.us網域。
這個問題影響Windows 2000、Windows XP,、Windows Server 2003及Windows Vista的使用者,此外也與包括IE7在內的所有版本IE有關。
在Kiwicon 2007大會上,Butler提到WPAD是一個存在三年的設計問題,微軟僅修正了.com網域的部份,但仍留下了次網域及其他主機名稱的問題。
微軟的警告中同時提到了影響範圍及幾項建議措施:
• 未設定主要DNS尾碼的使用者不受此問題影響
• DNS名稱為第二級網域(SLD)者不受影響,例如:contoso.com、fabrikam.gov這些。(三級含以上就會)
• 透過DHCP取得代理伺服器設定值的使用者不受影響。
• 單位內已經存在並使用正常的WPAD伺服器者不受影響。
• 在IE中手動設定代理伺服器者不受影響。
• 使用IE上網,且在IE中關閉'自動偵測設定'者不受影響。
情境如下
企業環境中有架AD、無Proxy servr、Domain=abc.com.tw、自動偵測設定選項打勾
因為IE browser支授WPAD,所以當開IE時,其自動找wpad.abc.com.tw,如果沒有就會去找wpad.com.tw,如此就會產生連出去的無謂的網路流量。
解法:自動偵測設定選項不要打勾就好。
微軟的幾項建議措施:
• 未設定主要DNS尾碼的使用者不受此問題影響
• DNS名稱為第二級網域(SLD)者不受影響,例如:contoso.com、fabrikam.gov這些。(三級含以上就會)
• 透過DHCP取得代理伺服器設定值的使用者不受影響。
• 單位內已經存在並使用正常的WPAD伺服器者不受影響。
• 在IE中手動設定代理伺服器者不受影響。
• 使用IE上網,且在IE中關閉'自動偵測設定'者不受影響。
詳細說明如下:引述自http://www.itis.tw/node/1295
新聞來源: 資安之眼
隨著Windows被爆出解析主機名稱時未包含完整名稱(FQDN)的問題,微軟發佈了一個安全警告回應相關問題及提供發佈修補前的措施。
在駭客Beau Butler於紐西蘭Kiwicon 2007大會上爆料的兩週後,微軟才發佈了這個警告。
在微軟的警告中提到:
惡意使用者可以架設一台WPAD伺服器並偽裝為代理伺服器,藉此針對那些次級網域發動中間人攻擊(man-in-the-middle attacks)。當使用者設定了主要的DNS尾碼時(DNS suffix),Windows的解析器會嘗試利用所有次網域進行解析。舉例來說,如果DNS尾碼為corp.contoso.co.us,當試著解析 wpad名稱時,DNS解析器會送出wpad.corp.contoso.co.us ,如果找不到,接著會嘗試wpad.contoso.co.us請求,如果還是找不到,接著會嘗試wpad.co.us,即使它不屬於 contoso.co.us網域。
這個問題影響Windows 2000、Windows XP,、Windows Server 2003及Windows Vista的使用者,此外也與包括IE7在內的所有版本IE有關。
在Kiwicon 2007大會上,Butler提到WPAD是一個存在三年的設計問題,微軟僅修正了.com網域的部份,但仍留下了次網域及其他主機名稱的問題。
微軟的警告中同時提到了影響範圍及幾項建議措施:
• 未設定主要DNS尾碼的使用者不受此問題影響
• DNS名稱為第二級網域(SLD)者不受影響,例如:contoso.com、fabrikam.gov這些。(三級含以上就會)
• 透過DHCP取得代理伺服器設定值的使用者不受影響。
• 單位內已經存在並使用正常的WPAD伺服器者不受影響。
• 在IE中手動設定代理伺服器者不受影響。
• 使用IE上網,且在IE中關閉'自動偵測設定'者不受影響。
2010年6月11日 星期五
有圖(Yo2)有真相【網站快照服務】
有時候要印出或抓下整個網頁,但網頁又太長,一個螢幕放不下,當然有很多軟體有這樣的功能,但如果您不想裝軟體在電腦上,線上有一個網站,直接在線上就可以轉換您要印出的網站內容成為圖檔,當然還有其它小功能,例如剪圖...等
網址:http://ppt.cc/yo2/
網址:http://ppt.cc/yo2/
2010年6月8日 星期二
好文章~~~用群組原則輕鬆管理使用者電腦~~Server 2008 DC GPO
節錄至iThome http://www.ithome.com.tw/article/96672
一篇對新版windows 2008 AD GPO有很好的說明,以下是節錄,原文共有10幾頁,原文請參考上方hyper link
一篇對新版windows 2008 AD GPO有很好的說明,以下是節錄,原文共有10幾頁,原文請參考上方hyper link
| 用群組原則輕鬆管理使用者電腦 | |||
| |||
| 群組原則是AD中最重要的功能之一,也是Windows Server平臺相當重要的一項管理機制,然而,仍有許多人並不了解這個功能究竟有多實用。 | |||
 群組原則是AD中最重要的功能之一,也是Windows Server平臺相當重要的一項管理機制,然而,仍有許多人並不了解這個功能究竟有多實用。因此,我們接下來將製作一系列的群組原則專題報導,並邀請分屬於不同領域的專家,示範如何用群組原則來減少IT人的電腦管理負擔。 Server 2008大幅強化群組原則 群組原則的強化上,Server 2008比先前的版本新增300多條,並包含許多簡化管理和除錯的功能 用工具協助檢查原則套用記錄 如果這些檢查都不能發現問題,最後就必須利用輔助工具來檢視個人端電腦的狀態。 群組原則管理範本檔案的改進 Windows Server 2008,微軟將原本群組原則使用的範本檔案,從ADM格式轉換為ADMX格式,IT人員只要利用XML語法,就可以輕易修改或新增自行定義的群組原則 避免使用者取得管理員權限 要解決這種問題,可以從變更本機管理員帳號名稱和密碼,和將管理員群組加入受限群組原則,限制群組成員名單來著手 強制電腦休眠,幫公司省電 一般企業較常用的電源設定選項群組原則,除了電源計畫外,還有「指定系統休眠逾時」、「關閉硬碟電源」或「關閉顯示器 讓死板的群組原則限制,變得更有彈性 微軟在Windows Server 2008中加入了「群組原則喜好設定(Group Policy Preference)」,IT人員可以藉由這項功能來設定使用者電腦的網路磁碟機、排程工作、電源選項開始功能表設定等項目 禁止使用未經BitLocker加密的隨身碟 微軟在Windows Vista及Server 2008中新增的磁碟加密工具「BitLocker」,到了Windows 7又進一步改進新增BitLocker To Go功能,並開始支援外接磁碟機或隨身碟 用進階安全性防火牆阻擋非法的連線 在具有進階安全性的Windows防火牆中,包含了網域、私人及公用等3種網路位置類型,分別對應使用者所在的網路環境 建立固定的IE瀏覽器使用環境 在數以百計的IE群組原則中,企業較需要的功能為IE的安全性、隱私權或網路設定等。如果是公用電腦,用群組原則來限制IE的部分功能就顯得更為重要 針對特定的使用者,設定密碼例外原則 Server 2008的AD網域服務(DS)提供了「更細緻的密碼原則(Fine-Grained Password Policy)」,讓IT人員可以在單一網域內指定多個密碼原則 |
2010年6月4日 星期五
如何避免使用者或是電腦連接至 USB 儲存裝置?(可用GPO控制)XP、2003、2000
節錄至http://support.microsoft.com/kb/823732
假設您想避免使用者連接至執行 Windows XP、Windows Server 2003 或 Windows 2000 電腦的 USB 儲存裝置,本文說明您可以使用來解決這個問題的兩種方法。
電腦設定 --> Windows 設定 --> 安全性設定 --> 檔案系統 -->(新增以下兩個檔且依上述第一個方式設定拒絶權限)
%SystemRoot%\inf\usbstor.inf
設定這個檔案或資料夾然後: 將繼承權限傳播到所有子資料夾及檔案擁有者
%SystemRoot%\inf\usbstor.PNF
設定這個檔案或資料夾然後: 將繼承權限傳播到所有子資料夾及檔案擁有者
假設您想避免使用者連接至執行 Windows XP、Windows Server 2003 或 Windows 2000 電腦的 USB 儲存裝置,本文說明您可以使用來解決這個問題的兩種方法。
如果電腦尚未安裝 USB 儲存裝置
如果電腦尚未安裝 USB 儲存裝置,請將使用者或群組,以及本機「系統」帳戶的 [拒絕] 權限指派至下列檔案:- %SystemRoot%\Inf\Usbstor.pnf
- %SystemRoot%\Inf\Usbstor.inf
- 啟動 Windows 檔案總管,然後找出 %SystemRoot%\Inf 資料夾。
- 用滑鼠右鍵按一下 Usbstor.pnf 檔案,然後按一下 [內容]。
- 按一下 [安全性] 索引標籤。
- 在 [群組或使用者名稱] 清單上,新增您想要設為 [拒絕] 權限的使用者或群組。
- 在 [UserName or GroupNam 的使用權限] 清單上,按一下以選取 [完全控制] 旁的 [拒絕] 核取方塊。
注意 也將系統帳戶新增至 [拒絕] 清單。 - 在 [群組或使用者名稱] 清單中,選取 [系統] 帳戶。
- 在 [UserName or GroupName 的使用權限] 清單上,按一下以選取 [完全控制] 旁的 [拒絕] 核取方塊,然後按一下 [確定]。
- 用滑鼠右鍵按一下 Usbstor.inf 檔案,然後按一下 [內容]。
- 按一下 [安全性] 索引標籤。
- 在 [群組或使用者名稱] 清單上,新增您想要設為 [拒絕] 權限的使用者或群組。
- 在 [UserName or GroupNam 的使用權限] 清單上,按一下以選取 [完全控制] 旁的 [拒絕] 核取方塊。
- 在 [群組或使用者名稱] 清單中,選取 [系統] 帳戶。
- 在 [UserName or GroupName 的使用權限] 清單上,按一下以選取 [完全控制] 旁的 [拒絕] 核取方塊,然後按一下 [確定]。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
當您執行這項操作時,USB 儲存裝置在使用者將裝置連接至電腦時不會運作。如果要設定 Start 值,請依照下列步驟執行: - 按一下 [開始],再按一下 [執行]。
- 在 [開啟] 方塊中,輸入 regedit,再按一下 [確定]。
- 找出並按一下下列登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor - 在「詳細資料」窗格中,按兩下 [開始]。
- 在 [數值資料] 方塊中輸入 4,再按一下 [十六進位] (如果尚未選取),然後按一下 [確定]。
- 結束「登錄編輯程式」。
可利用GPO控制
電腦設定 --> Windows 設定 --> 安全性設定 --> 檔案系統 -->(新增以下兩個檔且依上述第一個方式設定拒絶權限)
%SystemRoot%\inf\usbstor.inf
設定這個檔案或資料夾然後: 將繼承權限傳播到所有子資料夾及檔案擁有者
%SystemRoot%\inf\usbstor.PNF
設定這個檔案或資料夾然後: 將繼承權限傳播到所有子資料夾及檔案擁有者
2010年6月2日 星期三
在Vista之Domain User如何幫其安裝Printer Driver,(因為要權限)(利用gpo)
節錄至http://social.technet.microsoft.com/forums/zh-tw/windowsvistazhcht/thread/3F1E7697-034A-4FC5-A6E9-225107B170EC
在我們公司end user都只是一般的Domain users
當end user連線到printer server後,選取其網路印表機,
電腦就會準備從server download 那台printer driver,
可是現在在vista上面有UAC保護,一般user根本沒權限安裝,
也不可能一天到晚讓管理員去幫他們安裝driver,更不可能開權限給user
聽說printer server的OS如果是2008的話有辦法可以,不過目前是2003,升級也不是馬上的事,
如何在不關掉UAC的前提,讓使用者安裝他想要用的印表機驅動程式呢?
使用Vista or 2008 編輯GPO
在user config>administrative temp>control panel>printers
的point and print restriction 裡,設定上去就OK了
在我們公司end user都只是一般的Domain users
當end user連線到printer server後,選取其網路印表機,
電腦就會準備從server download 那台printer driver,
可是現在在vista上面有UAC保護,一般user根本沒權限安裝,
也不可能一天到晚讓管理員去幫他們安裝driver,更不可能開權限給user
聽說printer server的OS如果是2008的話有辦法可以,不過目前是2003,升級也不是馬上的事,
如何在不關掉UAC的前提,讓使用者安裝他想要用的印表機驅動程式呢?
使用Vista or 2008 編輯GPO
在user config>administrative temp>control panel>printers
的point and print restriction 裡,設定上去就OK了
訂閱:
文章 (Atom)