小编ewa*_*all的帖子

最近，我一直在与我们的一位存储人员合作开展一个项目，该项目涉及对公司多年来使用的大文件共享进行一些审查。通常，由于以下一种或多种原因，我们会遇到无法访问的目录或文件（使用域管理员帐户）：

• 损坏的 ACL
• Administrators 组（或 SYSTEM 用户）的访问权限已被撤销或拒绝
• 文件名 + 路径太长（超出MAX_PATH）

有一些工具可以在这些情况下提供帮助，它们来自 Microsoft（例如 TAKEOWN.EXE 和 ICALCS.EXE）或第三方（例如SETACL.EXE）。有时需要其他技巧，例如使用PSEXEC.EXE在 SYSTEM 帐户下运行命令之一。即使只是弄清楚要做什么和按什么顺序做也是一个挑战......

例如，我希望能够使用这样的流程对其进行故障排除：

1. 路径是否太长？如果是这样，请使用\\?\前缀构建路径，然后再次测试。
2. ACL 是否损坏？如果是这样，请正确重新排序 ACE 并删除任何未知数，然后再次测试。
3. 管理员组是否拒绝访问？如果是这样，请取得所有权，为 Administrators 组和 SYSTEM 帐户添加回权限，然后再次测试。
4. 它仍然失败吗？如果是，请删除所有 ACE 并仅应用继承的权限，然后再次检查。（这是最后的手段，因为它经常打开本应更具限制性的权限。）
5. 是目录吗？如果是这样，那么该过程需要对内部文件递归地继续......

当我们有数百个目录需要修复时，手动执行上述步骤很痛苦，而且不合理。我曾尝试编写脚本来帮助解决这些问题，但发现很难让脚本对其做出的决定“智能”，因此通常更容易执行粗略的修复方法，例如仅恢复继承的权限。

任何人都可以推荐其他有助于此过程的软件和/或脚本吗？或者，您如何解决此类权限问题？

我正在考虑安装一个新的 AD 集成企业证书颁发机构结构，但发现有人已经创建了一个 CA（主要用于内部网站上的 SSL）。

我想根据最佳实践来构建新结构，方法是创建一个离线根、授权多个从属 CA 进行容错等，但我不想弄乱已经存在的东西。显然，您不能将现有的根 CA 变成从属 CA，因此排除了这种可能性。

我可以简单地在别处安装新的根目录，而不是触及现有的根目录吗？（或者也许用新根的权限对现有 CA 进行交叉签名？）

我正在尝试授权在我们的 Active Directory 域中解锁用户帐户。这应该很容易，而且我以前做过...但是每次用户尝试解锁帐户（使用LockoutStatus 工具）时，他都会因错误“您没有解锁此帐户的必要权限”而被拒绝.”

这是我所做的：

• 我创建了一个域本地组并添加了应该拥有权限的成员。这是一个多星期前创建的，因此用户已注销并再次登录。
• 在 ADUC 中，根据 MSKB 279723，我在包含我们的用户帐户的 OU 上使用了委托权限向导来向组授予读取锁定时间和写入锁定时间的权限
• 我已经仔细检查了在 ADSIEdit 中正确应用的权限。
• 我已强制在所有域控制器之间进行复制，以确保复制权限更改。
• 测试它的用户已经注销并再次登录，以确保他的帐户有任何更改。

...这涵盖了我能想到的所有基础。还有什么我可能会错过的吗？

特别是对于启用了IE 增强安全配置的服务器，您需要在“受信任的站点”列表中包含所有 Windows 更新/Microsoft 更新 URL 才能使用该站点。

（此外，对于组策略强制执行 Internet Explorer 的“受信任站点”列表的域成员服务器，您无法选择自己编辑受信任站点......因此所有必要的 URL 都应列在 GPO 中。）

那么，在 IE 的可信站点中我需要的 URL 的完整列表是什么？到目前为止，我有以下几点：

• http(s)://*.update.microsoft.com
• http://download.windowsupdate.com
• http://windowsupdate.microsoft.com

我记得好像还有好几...