- 博客(17)
- 收藏
- 关注
RSS订阅原创 AD数据库清理
通常DC每隔12小时会做一次garbage collection,该过程就是在整理数据库,同时将删除时间超过了墓碑时间的180天的对象清理掉,该。还有一种脱机进行碎片整理数据的方法,不太推荐操作,因为操作过程中需要将AD数据库移动到新的位置,若操作不当产生的影响会很大。可以根据该事件日志去查看该过程是否有正常完成,若记录正常没有其它错误,那么说明我们的域控制器是正常的在做数据清理。) 的大小,而是优化数据库中的数据存储,并为新对象回收目录中的空间,它可以防止数据存储问题。联机碎片整理不会减小数据库文件 (
2025-05-01 10:12:47
404
原创 如何跨林申请证书
3、网页申请计算机证书时其证书模板的使用者名称需勾选在请求中提供不然无法显示出证书模板,用户证书不需要进行此操作。5、将ROOT CA的证书以及颁发CA的证书复制到信任域DC上,然后在信任域DC上运行下述命令将证书发布到域中。1、打开zz.com的AD用户和计算机,给予需要申请证书的用户以及DC允许身份验证的权限。6、由于跨域申请证书只能使用网页进行申请,可以在信任域中打开设置的网页证书申请页面。同样在信任域中要给予CA 在DC上的允许身份验证的权限。2、网页申请证书需要将证书申请网址添加到信任站点。
2025-04-29 08:48:04
469
原创 关于客户端注册证书时查找CA的机制问题
3、当客户端选择要注册的证书模板后,证书客户端将会随机选择CA,若为多站点环境且设置了msPKI-Site-Name属性,客户端将会评估该属性,证书服务客户端使用返回的站点成本来确定允许客户端注册权限并支持相关证书模板的CA 的优先级进行选择;2、DC将上述信息返回客户端,以此来确定哪些CA可用、哪些证书模板可以颁发以及是否具有注册或者自动注册该证书模板的权限,若为手动注册证书,则会向用户展示可用的模板列表;1、联系域控通过ldap查找林中证书模板列表(对象)、颁发CA列表(
2025-04-28 10:16:41
283
原创 关于CA的CRL
2、可以打开Root CA在本机新发布的crl文件,确认有效期(本机路径默认是C:\windows\system32\certsrv\certenroll,如果更改过,可以通过CA properties中的Extensions Tab中查看。1、在验证Root CA颁发给Issuing CA的证书时,涉及到下载Root CA颁发的吊销列表,因此当过了有效期后,Issuing CA证书无法验证通过,导致证书验证失败。然后,我们从根CA目录复制此文件并将其粘贴到颁发子 CA 的同一位置。
2025-04-28 10:07:22
650
原创 关于如何进行NTDS.dit修复的步骤
请注意,我们中间跳过了esentutl /p 来修复数据库的命令,因为这个操作可能对当前的数据库产生负面影响,导致域控无法正常启动。3、展开到boot,在boot options中选中Safe mode->Active directory repair。14、运行msconfig,展开到boot,在boot options中取消Safe mode,重启计算机。5、用还原模式的帐号登录:.\administrator;1、用域管理员帐户登录域控,运行msconfig。如果完整性检查没有问题,跳到步骤13;
2025-04-27 09:33:29
343
原创 关于临时配置文件实现用户登出恢复默认桌面的方案
Mandatory profile是一种roaming profile,可以通过计算机的配置将新登录的用户账户的配置文件全部重定向到指定的共享路径。6.在“复制到”的“将配置文件复制到”字段中,输入要存储必需配置文件的路径和文件夹名称。4.在“配置文件”选项卡的“配置文件路径”字段中,输入不带扩展名的共享文件夹的路径。3.在“用户配置文件”中,单击“默认配置文件”,然后单击“复制到”。“高级”系统设置“,然后单击”用户配置文件“部分中的”设置”。4.在“复制到”中的“允许使用”下,单击“更改”。
2025-04-26 14:24:22
1470
原创 关于Kerberos AP_ERR_MODIFIED问题的研究
Kerberos 验证的过程中,客户端会首先联系DC 验证自己的身份,验证通过后,DC会给客户端发送TGT ,用于service ticket 的申请过程。Spn 如注册在其他账号上,service ticket会使用注册的账号的密码进行加密,我们发给应用服务器时,也会因为密码不一致解密失败。服务账号的密码dc 间不同步,如我们申请service ticket 的时候联系了错误的DC,解密service ticket就会失败。2、两端使用的解密算法不同,导致票据无法解密。3、spn 注册错误。
2025-04-26 14:07:30
530
原创 关于如何在加域机器上开启windowshello中生物识别功能
而对于加域客户端,域用户是无法创建PIN码的,该功能默认对非Azure-AD joined 设置是关闭的,如果对domain joined的设备开启该功能,需要额外开启“需要注意的一点是,Windows Hello(Convenience PIN)和Windows Hello for Business的设置是互斥的,因此如果计算机上有任何Windows Hello for Business的配置,Windows Hello都无法配置成功。3. 然后导航到计算机配置>策略>管理模板>系统>登录。
2025-04-25 14:08:41
1378
原创 如何查看Windows系统中用户每天电脑使用时间的思路
StartTime=$Date } -ComputerName <需要获取的计算机hostname> | where {($_.Id -eq 4624 -and $_.properties[8].value -eq 2) -or ($_.Id -eq 4634 -and $_.properties[4].value -eq 2) } //筛选日志以及属性。1、开启审核登陆、审核注销以及锁屏以及解锁事件,通过在事件查看器中筛选4624、4634、4800、4801事件以及用户来查看相应的事件进行计算;
2025-04-25 14:02:08
558
原创 关于AD域中的密码策略以及FGPP
3、进入设置界面,填写设置名(Name),设置优先级(Precedence,此处主要是控制多个策略链接到同一个对象时的优先级),选择强制最小密码强度选项然后填写密码长度,可以选择性的在Description中添加描述信息以便公司其他管理员得知该策略作用,最后在Directly Applies To中点击Add;FGPP是管理账户密码的一种高级方法,FGPP 的优先级高于密码组策略,默认策略上的密码策略和FGPP的配置都会生效,但是在配置了FGPP的安全组中的成员,FGPP的设置会覆盖默认域策略的设置。
2025-04-24 13:44:37
737
原创 如何解决导出域控安全组成员限制问题
3. 可以看到此文件中有许多add key内容,请在任意add key下添加<add key="MaxGroupOrMemberEntries" value="200000" />。这边数值根据用户数量填写,这边示例数量为20万,所以将MaxGroupOrMemberEntries修改成20万,如果超过20万,请您再进行调整。1. 登录到需要做查询的域控制器上,然后转到C:\Windows\ADWS。如果需要获取组的所有成员,包括任何子组的成员,运行。6. 如果已经解除限制,可以运行。
2025-04-23 15:43:47
424
原创 单独设置LDAP policy
在使用LDAP协议对接域控器的时候需要遵循域的LDAP policy,其中规定了LDAP查询过程中的一些限制,一般在域控使用常规方法进行调整是全域范围内的,下述内容提供了仅更改单台LDAP policy的方法。4、点击下一步后,点击更多属性,选择IDAPAdminLimits属性添加LDAP policy,您可以对照默认的属性对象设置,然后修改需要的条目。在没有特定域控制器或站点查询策略的情况下,域控制器使用名为“默认查询策略”的默认查询策略。设置完成后点击确定,然后在生成的对象中可以查看到对象的设置。
2025-04-23 15:26:22
597
原创 CVE-2016-2183修复方法
关闭了3DES的加密套件不会所提到的这些机器造成影响,禁用3DES-CBS的加密套件后客户端与server 建立TLS时,仅是无法使用包含3DES的加密套件。客户端和服务器中都存在相应的密码套件,在建立连接的时候,他们会进行协商,如果服务器端不能使用3DES的适合,他们会去协商使用其他的密码套件,当找到相应的密码套件时才会建立连接,密码套件不止3DES一种,下面介绍了不同的密码套件类型;该TLS加密套件的安全问题,建议将DES及3DES的加密套件禁用。
2025-04-22 22:27:18
1791
原创 关于域账号被禁用后是否可以登录
1、在域控上打开组策略编辑器,新建或在原有组策略上编辑(因为该策略是计算机策略,把该策略链接到包含需要应用的计算机的OU中),示例是在中在默认域控策略中编辑的,组策略路径为。域账号如果登陆到客户端,Windows 在本地缓存以前用户的登录信息,以便在以后的登录尝试期间登录服务器不可用时,可以继续登陆,这是设计使然,3、设置好后点击应用然后点击确定,等组策略后台刷新,或者去客户端用域成员账号登录并以管理员身份打开power shell输入以下命令。所以域账户的账户信息需要联系域控获取。每次用户登录到域时,
2025-04-22 22:21:27
514
原创 W32time无法自动启动
发生在在运行 Windows 7、Windows Server 2008 R2的工作组计算机上,Windows 时间服务在系统启动后立即停止。即使启动类型从“手动”更改为“自动”,也会出现此问题。这是由于,windows time服务是trigger-start服务。也就是说,Service Control Manager会根据特定系统事件来启动和停止服务。分享一个之前处理过的在windows系统出现过的时间同步的问题,这个问题是微软的已知问题,
2025-04-18 11:17:39
305
原创 关于更新组身份后组策略不应用的问题
环境:我新建了一个名字为“Cc”的安全组,将两台计算机加入组内,新建了一个名字为Test的组策略;安全筛选(但是基于一一些特殊的组策略是一定需要电脑重新才能生效比如软件策略、文件重定向等设置);测试结果表明上述操作不能直接使组策略生效,成员组的身份也并未刷新;查看本地Kerberos 票证缓存查看票证时间是否更新;更新组策略的同时会下发新的本地Kerberos 票证;票证生存时间过期来更新成员组身份并使组策略生效;票证缓存来刷新成员组身份使之通过组策略安全筛选;票证生存时间过期了但是组策略仍然不生效;
2025-04-18 10:38:04
308
【Windows PowerShell脚本】递归获取AD组成员信息并导出CSV:用户和子组详细属性收集脚本设计与实现
2025-04-18
【Windows域控制器管理】DC健康状态检查与AD复制诊断:确保SYSVOL复制及Kerberos认证正常运行的方法步骤
2025-04-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人