七月 2018
« 五月    
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

彙整

Windows 2012 Server 更新UID方式

以前XP用GHOST複製電腦時,如果在網域的環境下需執行微軟 NewUID程式來更新XP的UID,以達成讓UID唯一性,在網域環境才不會出問題。

Window 2012 Server要更新UID已內建程式可執行。

http://loveworld.blog.51cto.com/5092260/994986

======================================================================

其实本文章没什么技术含量,算是一个小小的tips。只是以前遇到好多人对SID都不是很清楚,也不知道如何查看一台机器的SID,ghost备份或者虚拟机生成克隆虚拟机的时候加域也加不进去,在这里我做一些简单的介绍,如果对此了解的话就可以跳过本文了。

首先介绍下什么是SID

SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID. 如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 一个完整的SID包括: · 用户和组的安全描述 · 48-bit的ID authority · 修订版本 · 可变的验证值Variable sub-authority values

如果两台机器的SID一样的话,那么我们加域的时候只有一台机器能加,第二台机器再加的时候就会有报错。出现这个情况一般是因为我们用了ghost装系统或者是在做实验的时候用的是虚拟机clone的。另外,装vmware view server的时候也会验证两台机器的SID是否一样的

既然知道了SID对于计算机的重要性,那么我们如何来查看一台机器的SID呢?

其实很简单,我们只用一条命令就可以了。在命令提示符的界面,输入whoami /user就可以了

我们可以看到,这台机器的sid是S-1-5-***-79435-500,如果我们用虚拟机生成了一个clone的系统,那么SID会和这台机器一样,微软为此提供了工具,系统内已经内置,我们可以通过sysprep.exe 这个小工具来重置SID

首先cd c:\windows\system32\sysprep切换到sysprep目录,然后执行sysprep就可以打开系统准备工具

windows server 2012的sysprep版本是3.14

我们勾选通用,其他的默认,点击确定就可以了,然后开始清理系统

清理完成会自动重启,然后系统需要重新封装,重新解包

进入系统后,我们输入whoami /user来查看新获取的SID

这次已经是S-1-5-***-33394-500,已经发生变化,我们再加域就不会出问题了

微软关于重置SID有一款小工具,叫newsid,大家可以到微软的官网下载,不过我现在用server 2012的时候每次用newsid重置sid后,一旦重启就会报错,不知道什么原因,也许是版本太低导致的,等待微软下一个版本的sid再试试。大家有兴趣了也可以试试

Windows 關機前自動執行 CCleaner 清除隱私資料

Windows 關機前自動執行 CCleaner 清除隱私資料

參考來源:http://cha.homeip.net/blog/2011/06/3155.html

目的: 設置 Windows "群組原則" 讓 Windows 系統關機前使用 CCleaner 清除隱私資料。 環境: Windows XP Pro / Vista / 7 with CCleaner

notepad C:\CCleaner.vbs

Dim WshShell, oExec

Set WshShell = CreateObject("WScript.Shell")

Set oExec = WshShell.Exec("%ProgramFiles%\CCleaner\CCleaner.exe /AUTO")

Do While oExec.Status = 0

WScript.Sleep 200

Loop

gpedit.msc

↓ 畫面左邊依序點入 電腦設定 → Windows 設定 → 指令碼 – (啟動/關機); 雙擊滑鼠左鍵點選畫面右邊的 "關機" […]

Windows系統日誌管理

今日公司有台SERVER被入侵,修改了帳號密碼,應該也有植入木馬程式………還好前陣子把環境移植到 VM ESXi Server環境,對系統做了備份,故今日很快的恢復系統運作,但對於被入侵的Server,看不出端倪,因為系統日誌檔被刪除了,但對外防火牆的記錄看不出有任何對該台Server異常連線的記錄,故有點擔心是由內部引起的………

已請管理的同事對該台Server做了一些安全上的設定: 1.找時間關閉Guest,要連線請都使用帳號密碼連線(無AD就將使用者本機帳號密碼也建立一份在SERVER上),分享目錄請把Everyone權限拿掉,改特定帳號密碼。 2.關閉奇怪的帳號 kurt$ , 這帳號既然有本機Admin權限。怎麼來的也不清楚,只知道是廠商裝完系統後出現的帳號。

找了一下怎麼備份日誌檔,雖然並不能百分百記錄到駭客入侵前所有記錄,但多一份備份就多一份機會找出問題點,當然希望以後是用不到才是。

=======================================

文章出處:http://forum.slime.com.tw/thread65618.html

日誌對於系統安全的作用是顯而易見的,無論是網路管理員還是黑客都非常重視日誌,一個有經驗的管理員往往能夠迅速通過日誌瞭解到系統的安全效能,而一個聰明的黑客往往會在入侵成功 後迅速清除掉對自己不利的日誌。下面我們就來討論一下日誌的安全和新增問題。 一:概述: Windows 2000的系統日誌文件有應用程式日誌,安全日誌、系統日誌、DNS伺服器日誌等等,應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置:%systemroot%\system32\config,預設文件大小512KB。 安全日誌文件:%systemroot%\system32\config\SecEvent.EVT 系統日誌文件:%systemroot%\system32\config\SysEvent.EVT 應用程式日誌文件:%systemroot%\system32\config\AppEvent.EVT 這些LOG文件在註冊表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog有的管理員很可能將這些日誌重定位。其中EVENTLOG下面有很多的子表,裡面可查到以上日誌的定位目錄。 […]

Windows網域遠端關機/重開

參考網址 http://blog.alexw.net/archives/tag/win

Windows網域遠端關機/重開

shutdown 指令有支援 shutdown /r /m 遠端重開機 不過指定電腦關機的時候卻回應”存取被拒”

這時候 就用 net use 給他登入一下就不會被拒了 net use \\XXX-PC /user:domain\administrator * 之後再使用 shutdown /r /m XXX-PC 應該就OK囉~

====================================

測試過,可行^^

/f 可強制重開機

shutdown /r /f /m XXX-PC