我在我的 Active Directory 中禁用了一个用户(终止了该帐户)。但是,我仍然收到事件 ID 5379(已读取凭据管理器凭据。)、4673(调用特权服务。)、4656(请求对象句柄)的日志。
调用的过程是:
gfxdownloadwrapper.exe 4673
lsbupdater.exe 4673
cleanmgr.exe 4673
quickup.exe 4673
searchui.exe 4673
可能是什么原因??用户被禁用然后如何记录这些事件Account name: disabled_user.name
我需要为 12 个 IP 块打开 20 个端口。
在这种情况下我是否必须手动添加 240 条规则?我觉得必须有一种方法可以将 IP 列表复制并粘贴到某个地方。
我用谷歌搜索,发现这是不可能的,但很难相信。 https://forums.aws.amazon.com/thread.jspa?threadID=191133
我正在设置一个 SFTP 服务器,我想将安全组中的所有 IP 列入白名单,以便人们可以从任何地方连接到它。
目前我正在向入站规则添加 2 条规则,一条用于 IPv4,一条用于 IPv6:
无论如何,我可以在一条规则中将两个 IP 版本都列入白名单吗?
我们安装了一个新的 Exchange 2016 服务器并将所有邮箱从 Exchange 2010 服务器迁移到它。然后我们将所有邮箱和公用文件夹从 MSEX2016 迁移到 Office 365,我们降级并关闭了 MSEX2010。本地 AD 通过我们的一台本地服务器上的 Azure AD 连接器与 Azure AD 同步。
这工作了几个星期没有问题。所有客户端都能够访问 O365 上的公用文件夹及其邮箱。
昨天我们降级了 MSEX2016,它在几天前已经关闭进行测试。上面没有激活 PF,但无法以常规方式删除数据库,因为它始终显示服务器仍处于迁移模式。手动设置属性(如 MigrationComplete...)并没有帮助,我们最终使用 force 选项删除了它们,将服务器降级并关闭了它。
之后,在客户端上出现消息,Exchange 管理员执行了需要重新启动 Outlook 客户端的更改。不确定为什么会出现此消息,因为所有客户端都已连接到 O365,并且不应该与旧的 MSEX2016 建立任何连接。
昨天,我还更改了 Azure AD 连接器,它只同步一些需要的 OU。
今天出现的问题是没有人能够再访问PF了。然后我发现,分配组的文件夹权限上的 SID 显示为未知。
用户 SID 看起来不错,问题仅出在组上。我首先认为这可能与 Azure AD 连接器的 OU 限制有关,我重新激活了之前的完全同步,但它没有帮助。
我也无法通过 WebGUI 更改任何权限,最终会出现以下消息。
`系统在计算 Lambda 表达式时引发异常:[ Boolean(@0[ApplyToSubFolders]) ] 调用目标已引发异常。错误
系统在计算 Lambda 表达式时抛出异常:[ Boolean(@0[ApplyToSubFolders]) ] 调用目标已抛出异常。`
我能够在根 PF 中创建一个新的“测试”文件夹,但我无法通过 WebGUI 在那里设置任何权限。
可以通过 Outlook 客户端更改权限。如果我删除其中一个组权限并重新添加它,则会显示 SID 并且一切正常。对我来说意味着所有组通常在 O365 上都是已知的(它们也显示在 Exchange Admin WebGUI 中),但是在现有权限上它们没有分配给它。
为什么无法通过 WebGUI 设置 PF 权限?
为什么它失去了从现有公用文件夹组权限到 SID 的分配以及如何在不手动删除和重新添加所有权限的情况下修复它?
编辑 1(2021 年 10 月 18 日星期一):
与此同时,组权限完全消失了。
编辑 2(星期四 2021-10-21):
自周一以来,有一张微软的罚单开放,但他们无法解释为什么权限消失了,他们的软件工程师正在努力弄清楚发生了什么。他们还在调查为什么无法通过 WebGUI 设置权限。他们提出的解决方案是使用 Outlook 或 PowerShell 手动设置所有文件夹的所有权限,因为我们有大约 2700 个文件夹,所以我并不满意。他们不愿意(“构建自定义脚本通常超出我们的支持范围”)提供一个脚本来重新应用迁移期间创建的 XML 文件的权限,并且他们没有出现任何其他解决方案来获得权限回来了。
同时,我能够使用自己创建的脚本和社区的支持重新应用公用文件夹权限。
编辑 3(星期六,2021-10-30)
MS 说,WebGUI 权限设置的问题是众所周知的:“报告的问题是由已知问题引起的(我们的产品工程团队正在从后端解决)”他们建议使用 Outlook 客户端或 PowerShell更改公用文件夹的权限。
他们进一步说我不能证明权限没有被管理员活动删除,因为我们的审计日志没有启用(根据 MS 默认),我无法显示有关它的记录。我再次向他们发送了我的屏幕截图,其中显示了组权限上缺少 SID 的奇怪情况,以指出这是 MS 基础架构中的问题。我是唯一拥有管理员权限的人,我确信我没有删除公共文件夹的权限。
编辑 4(2021 年 11 月 14 日,星期日)
MS 的回答:“关于通过管理中心 UI 分配权限的问题,我的同事建议这个问题已经在外部发布,因为这个问题现在已经知道了一段时间。如前所述,我们的产品工程团队目前正在努力正在开发一个永久修复程序,但是,目前没有具体的 ETA,因此我们无法完全确定何时可以得到解决。有关更多信息,您还可以参考EAC 中的公用文件夹权限和设置不传播文章(它还包括我们建议的 PowerShell 脚本,这是我们同事提供的针对此问题的官方解决方法)。”
“根据您迄今为止与我们共享的信息(包括来自 EAC 的屏幕截图,其中显示了缺少的 SID),我的同事怀疑受影响的公用文件夹已正常迁移到 Exchange Online,但是,授予权限的邮件安全组到用户之后没有同步(或同步过程存在问题)。因此,这些权限组被认为是孤立的/陈旧的,并已被我们的一致性代理删除,该代理每 7 天在后端运行一次。 " “话虽如此,这种行为是设计使然,但遗憾的是,我们无法完全确认为什么权限首先被检测为陈旧。有关此问题的更多信息,来自 Exchange 开发团队的帖子,其中解释了代理的工作原理。”
场景如下:GPO 链接到 OU 以启用,例如,UAC 设置。但是,由于某些系统需要禁用 UAC,因此有一个 GPO 可以禁用这些设置。此 GPO 链接到安全组。这些系统是特定安全组的成员,并且仍将放置在具有“启用”设置 GPO 的 UAC 的 OU 中。
那么哪个 GPO 是赢家呢?
根据我的测试,在安全组之前链接到 OU 的 GPO 总是获胜。这个问题有什么解决办法吗?
我正在尝试构建一个 PowerShell 命令,它将在 AD 用户中添加一个具有完全控制权限的安全组(而不是成员),以避免手动手动操作。可能吗 ?
我正在努力了解 AWS 安全组描述的端口范围以及它们的行为方式。我是一名拥有多年编写网络软件经验的软件开发人员,所以我可能只是把事情复杂化了。
我真正想要的是一种将我的网络知识与 AWS 的命名和行为联系起来的方法。
最让我困惑的是,在 TCP 或 UDP 数据包上有两个端口号(发送方和接收方)。这适用于数据包是从服务器发送到客户端还是从客户端发送到服务器。所以防火墙规则理论上可以引用4个不同的端口:
我意识到任何(TCP)连接实际上只有两个端口,因为入站和出站数据包是彼此的镜像。
现在考虑到所有这些,AWS 控制台只有一个用于入站规则的端口和一个用于出站规则的端口。当我查找示例时,它们通常包含允许同一组中的每个端口出站作为单个端口入站的参考(请参阅terraform 示例)。
这究竟是做什么的?
我很担心,因为...我似乎需要这个出口规则。这似乎允许任何客户端从任何端口连接到端口 443。(没关系)。但是,一个安全组的出口规则能否与另一个安全组的入口规则结合使用?
例如:如果我添加一个网络组让我的机器充当 HTTP(S) 服务器,就像示例一样,然后我添加另一个规则让它充当 HTTP(S) 客户端,那么我将有一个规则允许来自任何软件的任何端口和一个允许任何端口到任何地方的规则。这是否完全打开了防火墙,还是每个数据包都必须完全匹配一个安全组?
我有 2 个森林,每个森林都有一个具有双向信任的域。
我在林 A 中创建了安全组,以访问文件夹,我在其中添加了来自林 A 和 B 的两个用户,访问对两个林的每个用户都有效。
我创建了一个 gpo 以自动映射驱动器。该策略已创建并应用于林 A,项目级别针对不同的安全组。
该策略适用于林 A 的所有用户,但不适用于林 B 的用户,驱动器未映射。
我怎样才能让政策也适用于林/域 B ?可能吗 ?
我什至尝试在域 B 上重新创建相同的 gpo,但我无法从域 A 添加安全组,但在级别定位-> 位置下,我只看到一个域,而不是两个域。
我希望我的问题很容易理解:)
谢谢
我知道活动目录中安全组和通讯组的基本用途。安全组用于访问网络资源,而通讯组用于在邮件中发送通讯组列表。但我的疑问是,安全组也可用于使用启用邮件的安全组将邮件分发到该组。如果安全组已用于安全和分发邮件,那么在活动目录中使用分发组有什么需要?
我在允许端口 80、443 和 22(tcp,从 0.0.0.0/0 和 ::/0 入站)的安全组上有一个 EC2 实例;以及每个出站连接(到 0.0.0.0/0 和 ::/0,所有 tcp 和 udp)。
我最近设置了一个邮件服务器,所以我也从 0.0.0.0/0 和 ::/0 添加了端口 25/tcp。
现在我可以按预期使用公共 ip 从任何外部主机连接到我的邮件服务器,没有问题。
我也可以使用localhost主机名或 127.0.0.1 作为 ip 从实例内部连接。
但是我无法使用其公共 ip 或主机名从实例内部连接到端口 25 上的实例。我没有连接被拒绝或任何东西,只是超时。
我在实例中的任何其他开放端口都没有这个问题,我可以使用实例 shell 中的公共 ip 完美地远程登录到端口 80、443 或 22。
我试过重启、停止/启动,甚至从头开始创建一个新的安全组并将实例切换到它。结果仍然相同:外部连接正常,使用公共 ip 的内部连接仅在该端口上失败。
iptables 看起来不错,我没有看到会影响此端口而不影响其他端口的限制或权限。
此实例上未启用防火墙(Debian buster)
邮件服务器是后缀(我不知道这是否有任何区别。如果它实际上是后缀配置问题,我很困惑,我在服务器日志上看不到任何内容,并且它允许所有其他连接源......)
