小编Tim*_*ham的帖子

我该怎么办这个用户？用户是：

• 下载色情内容
• 试图未经授权的访问
• 运行黑客软件
• 发送未经请求的电子邮件
• 安装软件/篡改系统
• 等等

这旨在作为员工行为问题的通用答案，你能帮我解决我的软件许可问题吗？

我可以看到可接受的使用问题超出了 SF 的范围，但这是大多数系统管理员会遇到的问题之一。我不想继续重写类似的答案。

这是我正在运行的命令示例：

PS C:\> Get-ExecutionPolicy -List 

        Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       Undefined
   UserPolicy       Undefined
      Process       Undefined
  CurrentUser       Undefined
 LocalMachine    Unrestricted


PS C:\> Set-ExecutionPolicy Unrestricted -Scope CurrentUser
PS C:\> Get-ExecutionPolicy -List

        Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       Undefined
   UserPolicy       Undefined
      Process       Undefined
  CurrentUser       Undefined
 LocalMachine    Unrestricted

我想将 设置CurrentUser为Unrestricted，但我似乎无法这样做。我按照此 MSDN 文档中的概述检查了适当的组策略，但没有找到任何已配置的内容。

关于如何设置这个的任何线索？

根据最近的一个问题，我最近将 HP (2x 2900) 和 Cisco (1x 3750) 硬件配置为使用 MSTP 实现互操作性。在我将更改应用于第三个设备（下面的 HP 交换机 1）之前，我认为这是有效的，此时生成树根开始摆动，导致我的两个 HP 交换机之间出现性能问题（5% 的数据包丢失）。我不知道为什么。

HP 交换机 1 A4 连接到 Cisco 1/0/1。HP 交换机 2 B2 连接到 Cisco 2/0/1。HP Switch 1 A2 连接到 HP Switch 2 A1。我更喜欢 Cisco 堆栈作为根。

编辑：

在 HP 交换机 2 中有一个特定的行 - 'spanning-tree 1 path-cost 500000' 我没有添加并且已经存在。我不确定它是否会产生我所描述的那种影响。我更像是一个安全和监控人员，然后是网络。

编辑2：

我开始相信问题在于我在 Cisco 上的 MST 0 实例的值仍然是默认的 32768。我绘制了一个图表： 这是基于我能为 STP 找到的每个 show 命令。我会在下班后进行此更改，看看是否有帮助。

思科 3750 配置：

version 12.2

spanning-tree mode mst
spanning-tree extend system-id
spanning-tree mst configuration
 name …

我有哪些选项可以为新站点和浏览器中的那些站点禁用 HSTS？

HTTPS 检查的使用本质上通过充当中间人来改变站点的指纹；访问以前访问过的站点而未进行 HTTPS 检查或预加载站点之一将导致站点无法访问。什么选项 - 如果有的话 - 除了禁用检查之外我还有其他选择吗？

这是一个示例，Chrome 中的 Gmail 带有 HTTPS 检查：

背景

我正在设置一个新的防火墙，我正在尝试清理我的 HTTPS 检查规则。我真的想避免将可能有用户贡献内容的网站添加到列表中，例如 mail.google.com/gmail.com。

自从我上次这样做以来，HSTS / HTTP Strict Transport Security变得更加普遍。

注意 - 我试图保持这种通用性，因为这可能是许多不同设置的问题。我希望有一种适用于任何防火墙产品的跨操作系统/跨浏览器方法，但这要求有点高。专注于（IE、Chrome、Firefox）使用 Windows (7+) 将是一个很好的开始。以组策略为中心的方法也非常有用。

我内部有几台 Splunk 服务器，我通过 puppet 管理部分配置。它们驻留在 CentOS 6 机器上。

我的定义设置为

file{ "/opt/splunk/etc/apps":
  recurse => true,
  purge => true,
  force => true,
  source => "puppet:///modules/splunk/$hostname/apps",
  ensure =>  present,
  mode => 755,
  owner =>  splunk,
  group => splunk,
  notify => Service["splunk"]
}

这很有效，但我想排除 /opt/splunk/etc/apps/myapp/local/savedsearches.conf 中保存的搜索文件被覆盖和/或自动更新包含在 Puppet 中的副本，并保留版本本地服务器。

有没有现成的方法来做到这一点？我查看了文档，没有看到任何内容。

我一直在尝试诊断我的域登录缓慢。我的第一站之一是域登录非常慢 10+ 分钟。

到目前为止，我已经知道它与我的策略有关，即应用文件夹重定向并以管理方式分配脱机文件。启用此策略会可靠地增加 30 - 90 秒的登录时间。

即使在重定向文件夹中只有 20 兆字节的配置文件上也会发生这种情况。

我浏览了许多文章，包括使用 procmon 查看是否发生挂断的建议。我确实发现并修复了旧计划任务的几秒钟挂断，但没有什么能解释这么长的延迟。

我还查看了一些活跃的安装程序建议 - 例如邮件应用程序。

在突破 Wireshark 之前，我还可以/应该检查什么？

编辑问题：

1. 每次登录都会发生这种情况。软件设置/等应该保持不变。混合中没有临时的、强制性的等配置文件。
2. 我通过 procmon 看到活动，但没有任何迹象表明存在差距。没有间隔事件时间，没有延长持续时间的过程。
3. 我之前在文件重定向日志中调高了详细程度。根据文件夹重定向操作日志，处理策略所需的时间不到 1 秒（事件 1000 到事件 1001）
4. 组策略操作日志显示了我的几个更复杂的策略，每个策略大约 1 秒。

我有一个小的 Kickstart 脚本（除其他外）连接到我们的 Puppet master，批准证书请求，然后为新服务器创建一个基本框架。

在我的 Kickstart 帖子部分，我有以下命令。

# Run the setup script.
exec < /dev/tty6 > /dev/tty6 2>&1
chvt 6
wget http://enoch/ks/setup.sh -O /root/setup.sh
chmod +x /root/setup.sh
bash /root/setup.sh
# And go back to Anaconda
chvt 1 
exec < /dev/tty1 > /dev/tty1 2>&1

在 setup.sh 我有这条线

ssh -t $USERNAME@puppetmaster auto_client.sh $HOSTNAME

这在从命令行调用时非常有效，但是当我从 Kickstart 菜单运行它时，我的 SSH 窗口在原始终端下打开并破坏了脚本的其余部分。我该如何纠正？

我正在将测试系统上的一些本地定义的 IPSEC 策略转换为组策略。在此过程中，我应用了一个不完整的策略，该策略缺少允许直接访问我的 DCS 的行，该行尚未为 ipsec 设置。

这使我无法从我的测试系统中应用更新的策略（删除这些限制）。

如何强制删除此策略以允许我继续测试？

我的 Microsoft CA 生成的证书与使用的模板中指示的时间段不匹配。我该如何解决这个问题？

我最近创建了一个新的证书模板，用于我的 Microsoft CA (2008 R2 Enterprise) 上的 Linux 机器。该模板被批准用于服务器和客户端身份验证目的，有效期为 10 年 - 我们的 Linux 机器的预期寿命 - 以及请求中提供的主题名称。我已经检查了中间和离线 CA - 两者都列出了超过 10 年的生命周期。证书正好是两年。

我在这里遇到了某种硬性限制吗？

我一直致力于加快网络登录。作为此过程的一部分，我将禁用“始终等待网络”选项。

这本质上不是问题，但我真的希望能够弹出一个对话框，提示“我们看到您的驱动器未映射/您的文件夹尚未重定向。请注销并重新登录完成这个过程”。这将大大减少服务台呼叫。

有没有好的方法确定组何时需要同步运行？注册表中的标志等？