我有一个关于活动目录权限更改密码的问题。 是否有可能撤销权限更改来自特定OU的用户的密码? 我怎样才能完成这个任务? 我知道这可以为特定的用户组完成,但是对于特定OU中的用户是否可能? UPDATE 感谢您的答复。 他们真的很有帮助。 不幸的是,由于我的低信誉,我无法对这些回应进行调整;) 95%的用户在我正在写的OU中。 我正在考虑从Everyone组中删除更改密码权限,并为可以更改其密码的用户创build组。 问题是来自这个OU的用户是在另一个应用程序,他们应该改变他们的密码使用这个应用程序,而不是在AD。 不在此OU中的用户仅在AD中,因此他们可以在AD中更改其密码。 你认为这将是一个很好的解决scheme,或者会有问题吗? 感谢帮助。
我们正在build立我们的第一个Windows Server 2008 Web服务器(以前我们在所有Web服务器上都使用了Linux / Apache),并且希望得到一些有用的提示来设置和保护我们的安装。 我们将有一个Web服务器和一个数据库服务器(SQL Server 2008)来启动,运行IIS 7(显然我猜)。 所有的网页将SSLencryption(即https://)。
我正在尝试SharePoint,我已经安装了MOSS2007试用版。 我在安装过程中select了Kerberos身份validation方法。 它安装了一切,当我试图从IE浏览器中央pipe理网站,我得到401.1错误。 在安全事件日志中,我收到了失败审计事件。 如果我尝试通过Firefox访问该网站,它工作正常,它使用NTLM作为authentication方法。 我为服务帐户创build了SPN,并按照此处的说明为计算机和服务帐户的委派configuration了信任。 任何想法,我可能做错了什么? 编辑:在安全事件日志故障审计有用户作为NT AUTHORITY \ SYSTEM。 我希望看到那里的服务器农场帐户。 OfficeServer应用程序池和中央pipe理应用程序池都在服务器场帐户下运行。 对于Windows SharePoint Servicespipe理和Windows SharePoint Services计时器服务也是如此。 我错过了别的吗?
我的问题:这样的服务目前是否存在,如果有的话,在networking上的哪个位置? 详情:据我所知,我可以付一个顾问来build立和主办这样一个系统,但是我想要一些由“企业”支付的东西,用来支付物资和电力用户的费用,只有$。 一个“非商业”选项,为我们的权力极客。 我正在寻找一个安全存储syslog-ish信息的服务。 我有几台家用电脑,一些托pipe的虚拟服务器,misc网站等。他们通过各种方式产生各种警告,警报,信息消息等。 我也有免费网站监控服务的帐户,以提醒我,当一个网站宕机。 我不能相信自己的技能来“保证”我自己的网站是安全的,所以我想用别人的专业安全的networking服务来保存我的信息。 我想存储警告消息,警报,审计跟踪等。SNMP的是什么。 一些syslog-ish。 希望: 需要encryption的连接 为我的机器推送数据的只写PKI证书 一个单独的只读PKI证书让我查看/检索数据。 数据不能实时删除(黑客难以清除其轨道) 数据只能通过更安全的人在回路方法来删除(再次使黑客更难) 可select自动encryption备份到光学介质,并以选定的时间间隔运送到我的家中。 “几乎是无限的”存储我的消息。 开放的API,利用/封装ssl隧道SNMP,系统日志等 基本上我不相信自己的技能,并且想要支付别人“保证”我即使在完全的物理灾难或全面攻击我所有的系统之后也能有日志和审计线索等等。
从这个问题的答案build议不要在ca.key主页的服务器上创build客户端密钥,而是让客户端创build自己的私钥,并简单地将csr传递给ca服务器进行签名并取回。 这样私钥不必分配。 我search了相当多的条款和短语,但我怎么做到这一点,我已经遇到了什么问题。 我看了openvpn的howto,虽然它讨论了这个选项,但它并没有说明如何。 任何人都可以指向我的任何教程等? 我也想知道这对客户来说是多么的容易,特别是如果他们不太喜欢电脑的话。
Twitter今天的新闻都被DNSredirect/劫持黑客攻击。 我的问题是,你们用什么工具或技术来监视你的DNS / whois并检测到这种攻击?
假设我想参与一个可以通过中间人攻击(比如密钥交换)而受到攻击的行动。 我已经尽了最大的努力来保证我的通信结束,直到networking离开build筑物:我确保我的机器没有受到损害,我的局域网上没有无法识别的设备,我确认我的DNS没有被破坏等。我的搭档也是这样做的,我们相信一个中间人不能从楼内进行。 攻击者要成功地妥协我们之间的networking,以便在中间人攻击中进行攻击,是否有动力? 我假设美国政府与互联网服务提供商的合作将能够做到这一点。 但是如果没有ISP的许可呢? 如果我使用DSL,是否有人闯入本地DSLAM并插入代理? 他们可以在别人的前院挖掘电线并妥协吗? 是否有可能远程攻击骨干路由器,并将其作为代理? 关于防止中间人攻击的大多数讨论都集中在当地的networking上,暗示了一旦它从你的build筑物中走出来就是安全的。 这在理论和实践中有多真实?
在为Apache提供站点时,我知道有两种方式将某些内容放在“servername / foo”上: 把它放在一个名为'foo'的文件夹下的web根目录下, 创build一个别名 作为#2的例子,XAMPP在configuration文件中包含这些语句: Alias /phpmyadmin "C:/xampp/phpMyAdmin/" <Directory "C:/xampp/phpMyAdmin"> AllowOverride AuthConfig Order allow,deny Allow from all </Directory> 这意味着“如果服务器是本地主机,有人访问localhost / phpmyadmin,给他们看C:/ xampp / phpMyAdmin的内容,给予以下权限 。” 在这个例子中,考虑到phpMyAdmin可以从同一个URL访问, 从安全的angular度来看,无论是在web根文件夹还是别名,看起来好像都是重要的?
最近是否会启动一个ecommerence网站,也存储信用卡的细节等。 我们的安全性在软件方面是很好的,但是对于整个操作系统来说,我们正在疲软,并且正在考虑确定我们的工作站。 我遇到了一个名为webmin的工具,可以帮助您configuration您的Linux机器。 这个工具有多好,你们推荐这个工具来保护网站吗? 例如,我看到该工具可以让你玩IPTables。 这是一个很好的工具,用来妥善保护网站免受任何攻击。 我们还确保MySQL安全,遵循本教程http://www.securityfocus.com/infocus/1726
我正在运行SQL 2005的Server 2003计算机上安装2008实例。 我需要为安全设置步骤设置域组: http://msdn.microsoft.com/en-us/library/ms179530.aspx 在Windows Server 2003上,为SQL Server服务指定域组。 所有资源权限都由包含SQL Server服务帐户作为组成员的域级别组控制。 更多的信息在这里: http://support.microsoft.com/kb/910708 我在安装时能够将Windows服务帐户添加到组中时遇到问题。 安全pipe理员必须让我的帐户成为一个域pipe理员 – 他们犹豫不决。 运行SQL Server安装程序的帐户必须具有将帐户添加到域组的权限。 是否有一个特定的安全设置,允许我的帐户添加帐户到一个组? 更新:我正在寻找具体的指示。 我有一个名为域\服务组的全局组 – 我告诉安全人员要做什么。 我很想弄清楚自己,但我没有获得这个东西。