[
2009/02/17 07:10 | by 孤城浪子 ]
2009/02/17 07:10 | by 孤城浪子 ]
域控制器之间不复制组策略设置。因此,用户接收不到计算机的组策略设置。Microsoft Windows Server 2003 中的应用程序日志中会显示下面的事件:
另外,在 Microsoft Windows 2000 Server 上的应用程序日志中,每 5 分钟会出现一次下面的事件:
类型:错误
来源:Userenv
类别:无
事件 ID: 1058
描述:Windows 无法访问 GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domainname,DC=com 的 gpt.ini 文件。此文件必须位于 <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>。(Error_Message)。组策略处理中止。有关更多信息,请参阅位于 http://support.microsoft.com 的帮助和支持中心。
类型:错误
来源:Userenv
类别:无
事件 ID: 1030
描述:Windows 不能查询组策略对象列表。策略引擎以前记录过描述此原因的消息。有关更多信息,请参阅位于 http://support.microsoft.com 的帮助和支持中心。
来源:Userenv
类别:无
事件 ID: 1058
描述:Windows 无法访问 GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domainname,DC=com 的 gpt.ini 文件。此文件必须位于 <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>。(Error_Message)。组策略处理中止。有关更多信息,请参阅位于 http://support.microsoft.com 的帮助和支持中心。
类型:错误
来源:Userenv
类别:无
事件 ID: 1030
描述:Windows 不能查询组策略对象列表。策略引擎以前记录过描述此原因的消息。有关更多信息,请参阅位于 http://support.microsoft.com 的帮助和支持中心。
另外,在 Microsoft Windows 2000 Server 上的应用程序日志中,每 5 分钟会出现一次下面的事件:
类型:错误
事件 ID:1000
来源:Userenv
类别:无
用户:NT AUTHORITY\SYSTEM
描述:Windows 不能在 \\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol with (5) 访问注册表信息。
类型:错误
事件 ID:1001
来源:SceCli
类别:无
用户:不可用
描述:无法传播安全策略。无法访问模板。错误代码 =3。\\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf。
类型:错误
事件 ID: 1000
来源:Userenv
类别:无
用户:NT AUTHORITY\SYSTEM
描述:组策略客户端扩展安全已通过标志 (17) 并返回一个失败状态代码 (3)。
原因:
如果您将不适当的权限分配给 %SystemRoot%\Winnt\Sysvol 文件夹或将不适当的组分配给 Bypass Traverse Checking User Rights Assignment(跳过遍历检查用户权利指派),可能会发生此问题。另外,如果 sysvol 共享权限限制过多,也可能会发生此问题。
要解决此问题,请根据您的操作系统,使用以下方法之一:
事件 ID:1000
来源:Userenv
类别:无
用户:NT AUTHORITY\SYSTEM
描述:Windows 不能在 \\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol with (5) 访问注册表信息。
类型:错误
事件 ID:1001
来源:SceCli
类别:无
用户:不可用
描述:无法传播安全策略。无法访问模板。错误代码 =3。\\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf。
类型:错误
事件 ID: 1000
来源:Userenv
类别:无
用户:NT AUTHORITY\SYSTEM
描述:组策略客户端扩展安全已通过标志 (17) 并返回一个失败状态代码 (3)。
原因:
如果您将不适当的权限分配给 %SystemRoot%\Winnt\Sysvol 文件夹或将不适当的组分配给 Bypass Traverse Checking User Rights Assignment(跳过遍历检查用户权利指派),可能会发生此问题。另外,如果 sysvol 共享权限限制过多,也可能会发生此问题。
要解决此问题,请根据您的操作系统,使用以下方法之一:
Windows Server 2003
loadTOCNode(2, 'resolution');- 设置文件夹安全权限。为此,请按照下列步骤操作:
- 在 Windows 资源管理器中,右键单击“%SystemRoot%\Windows\Sysvol”文件夹,然后单击“属性”。
- 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”。确保安全设置与以下设置相匹配,然后单击“确定”: 管理员:完全控制
经身份验证的用户:读取、读取和执行、列出文件夹内容
创建者所有者:没有选中项
服务器操作员:读取、读取和执行、列出文件夹内容
系统:完全控制 - 右键单击“%SystemRoot%\Windows\Sysvol\Sysvol”文件夹,然后单击“属性”。
- 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”两次。
- 右键单击“%SystemRoot%\Winnt\Sysvol\Sysvol\domain”文件夹,然后单击“属性”。
- 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”两次。
- 右键单击“%SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies”文件夹,然后单击“属性”。
- 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”。确保安全设置与以下设置相匹配,然后单击“确定”: 管理员:完全控制
经身份验证的用户:读取、读取和执行、列出文件夹内容
创建者所有者:没有选中项
组策略创建者所有者:读取、读取和执行、列出文件夹内容、修改、写入
服务器操作员:读取、读取和执行、列出文件夹内容
系统:完全控制 - 对于位于 %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies 文件夹中的文件或文件夹,分别右键单击这些文件或文件夹,然后单击“属性”。
- 在“安全性”选项卡上,单击“高级”,单击以选择“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”两次。
- 展开“Active Directory 用户和计算机”。为此,单击“开始”,单击“所有程序”,然后单击“管理工具”。
- 展开“Active Directory 用户和计算机”,展开域名,右键单击“域控制器”,然后单击“属性”。
- 在“组策略”选项卡上,单击“默认域控制器策略”,然后单击“编辑”。
注意:如果安装了组策略管理控制台,则“编辑”按钮不可用。在这种情况下,单击“打开”以启动组策略管理控制台,展开“domain name”,展开“域控制器”,右键单击“默认域控制器策略”,然后单击“编辑”。
有关组策略管理控制台的其他信息,请访问下面的 Microsoft 网站:http://www.microsoft.com/china/windowsserver2003/gpmc/default.mspx (http://www.microsoft.com/windowsserver2003/gpmc/default.mspx) - 展开下面的文件夹:计算机配置
Windows 设置
安全设置
本地策略 - 单击“用户权限分配”,然后双击“跳过遍历检查”。应该出现下列默认设置: 经身份验证的用户如果没有出现,而您又需要添加这些组,请单击“添加用户或组”,然后单击“浏览”。
所有人
管理员 - 单击“开始”,单击“运行”,键入 gpupdate,然后单击“确定”。
- 请验证 sysvol 共享权限设置是否正确,如下所示:管理员 = 完全控制
经身份验证的用户 = 完全控制
所有人 = 读取
- 右键单击“网上邻居”,然后单击“属性”。
- 在“高级”菜单上,单击“高级设置”。
- 在“连接”框内,确保内部网络适配器第一个列出。如果不是第一个,使用箭头将其移到列表顶部。
Windows 2000 Server
loadTOCNode(2, 'resolution');- 设置文件夹安全权限。为此,请按照下列步骤操作:
- 在 Windows 资源管理器中,右键单击 %SystemRoot%\Winnt\Sysvol 文件夹,然后单击属性。
- 在安全性选项卡上,清除“允许从父系来的继承权限传播到这个对象”复选框,然后确保安全设置与下列设置匹配: 管理员:完全控制
经身份验证的用户:读取、读取和执行、列出文件夹内容
创建者所有者:没有选中项
服务器操作员:读取、读取和执行、列出文件夹内容
系统:完全控制 - 单击确定。
- 右键单击 %SystemRoot%\Winnt\Sysvol\Sysvol 文件夹,然后单击属性。
- 在安全性选项卡上,选中“允许从父系来的继承权限传播到这个对象”复选框,然后单击确定。
- 右键单击 %SystemRoot%\Winnt\Sysvol\Sysvol\domain:文件夹,然后单击属性。
- 在安全性选项卡上,选中“允许从父系来的继承权限传播到这个对象”复选框,然后单击确定。
- 右键单击 %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies 文件夹,然后单击属性。
- 在安全性选项卡上,清除“允许从父系来的继承权限传播到这个对象”复选框,然后确保安全设置与下列设置匹配: 管理员:完全控制
经身份验证的用户:读取、读取和执行、列出文件夹内容
创建者所有者:没有选中项
组策略创建者所有者:读取、读取和执行、列出文件夹内容、修改、写入
服务器操作员:读取、读取和执行、列出文件夹内容
系统:完全控制 - 单击确定。
- 对于位于 %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies 文件夹中的文件或文件夹,分别右键单击这些文件或文件夹,然后单击属性。在安全性选项卡上,选中“允许从父系来的继承权限传播到这个对象”复选框,然后单击确定。
- 打开“Active Directory 用户和计算机”:单击开始,单击程序,然后单击管理工具。
- 展开“Active Directory 用户和计算机”,然后展开域名。
- 右键单击域控制器,然后单击属性。
- 在组策略选项卡上,单击“默认域控制器策略”,然后单击编辑。
- 展开下面的文件夹:计算机配置
Windows 设置
安全设置
本地策略 - 单击用户权限分配,然后双击“跳过遍历检查”。应该出现下列默认设置: 经身份验证的用户如果没有出现,而您又需要添加这些组,请单击添加,然后单击浏览。
所有人
管理员 - 在命令提示符下,键入:secedit /refreshpolicy machine_policy /enforce
- 请验证 sysvol 共享权限设置是否正确,如下所示:管理员 = 完全控制
经身份验证的用户 = 完全控制
所有人 = 读取
- 右键单击网上邻居,然后单击属性。
- 单击高级菜单,然后单击高级设置。
- 在“连接”下,确保内部网络适配器第一个列出。如果不是第一个,使用箭头将其移到列表顶部。
[ 2008/08/29 11:51 | by 孤城浪子 ]
2008/08/29 11:51 | by 孤城浪子 ]
压缩包解压到 C:\PHP
在IIS WEB 服务扩展 里 添加新扩展
扩展名:.php
要求的文件:c:\php\php5isapi.dll
然后设置为允许状态
IIS 网站--》属性--》主目录--》配置--》
添加一个ISAPI扩展
可执行文件:C:\php\php5isapi.dll
动作限制为:GET,HEAD,POST,TRACE
把PHP.INI复制到 WINDOWS 目录
最后在系统环境变量里的PATH后面添加 c:\php;c:\php\ext
如果安装后在 phpinfo() 里不显示MYSQL支持,那就需要复制php目录下的libmysql.dll文件到system32下,并重启IIS。
配置好的PHP.INI
下载文件
在IIS WEB 服务扩展 里 添加新扩展
扩展名:.php
要求的文件:c:\php\php5isapi.dll
然后设置为允许状态
IIS 网站--》属性--》主目录--》配置--》
添加一个ISAPI扩展
可执行文件:C:\php\php5isapi.dll
动作限制为:GET,HEAD,POST,TRACE
把PHP.INI复制到 WINDOWS 目录
最后在系统环境变量里的PATH后面添加 c:\php;c:\php\ext
如果安装后在 phpinfo() 里不显示MYSQL支持,那就需要复制php目录下的libmysql.dll文件到system32下,并重启IIS。
配置好的PHP.INI
下载文件
[ 2008/01/04 10:49 | by 孤城浪子 ]
2008/01/04 10:49 | by 孤城浪子 ]
服务器安全设置
>> IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
[ 2007/12/17 18:54 | by 孤城浪子 ]
2007/12/17 18:54 | by 孤城浪子 ]
1.右键单击IIS管理器中的 网站 ,然后选择“属性”。
2.单击“ISAPI 筛选器”。
3.在“筛选器名称”中,选择 ASP.NET_2.0.50727,然后单击“编辑”。
4.将“C: \WINDOWS\Microsoft.NET\Framework64\v2.0.50727\aspnet_filter.dll”替换为位于 “Framework”文件夹中的 32 位版本:C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_filter.dll。
5.打开命令提示符窗口,然后运行以下命令:
cscript %SystemDrive%\inetpub\AdminScripts\adsutil.vbs set w3svc/AppPools/Enable32bitAppOnWin64 1
6.重启IIS服务,搞定收工
2.单击“ISAPI 筛选器”。
3.在“筛选器名称”中,选择 ASP.NET_2.0.50727,然后单击“编辑”。
4.将“C: \WINDOWS\Microsoft.NET\Framework64\v2.0.50727\aspnet_filter.dll”替换为位于 “Framework”文件夹中的 32 位版本:C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_filter.dll。
5.打开命令提示符窗口,然后运行以下命令:
cscript %SystemDrive%\inetpub\AdminScripts\adsutil.vbs set w3svc/AppPools/Enable32bitAppOnWin64 1
6.重启IIS服务,搞定收工
[ 2007/10/27 14:11 | by 孤城浪子 ]
2007/10/27 14:11 | by 孤城浪子 ]
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
恢复cmdshell的SQL语句
EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
在sqlserver的query analyer中运行以下命令就可以去掉sa的xp-cmdshell权限:
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and OBJECTPROPERTY(id, N'IsExtendedProc') = 1) exec sp_dropextendedproc N'[dbo].[xp_cmdshell]' GO
一般SQL2000是通过下面语句恢复: EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
而SQL97是通过下面语句恢复 EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xpsql70.dll'
sp_addextendedproc'xp_cmdshell','xpsql70.dll' (sql 7.0) sp_addextendedproc'xp_cmdshell','xplog70.dll' (sql 2000)
