Heinzi's questions

TL;DR：见标题。

背景：回到“过去”，我们做了很多坏事：我们将同一台服务器用于 Active Directory 和其他服务（有人记得 Windows Small Business Server 吗？），并且没有遵循有关组策略的最佳实践.

幸运的是，那些日子已经过去了，但我们仍然使用与当时相同的 Active Directory 域。我们最近注意到“默认域控制器策略”包含明显不再正确的条目（最引人注目的例子是，普通用户和过时的服务帐户可以在本地登录到我们的域控制器）。我想“清理”政策并确保我们遵循最新的安全建议。

我知道可以使用 重置此策略dcgpofix.exe，但我担心这样做会破坏某些内容。相反，我想

• 将“默认域控制器策略”的每个当前设置与默认设置进行比较，
• 确保我了解此设置的作用，并且
• 如果我确定不再需要修改，则将其重置为默认设置。

然而，要做到这一点，我需要查看默认的“默认域控制器策略”，而我对此进行的谷歌搜索失败了（可能是由于“默认”在这种情况下的双重含义）。因此我的问题是：

新创建的 Active Directory 域中“默认域控制器策略”的默认设置是什么？

现在是 19:01。这是我的 Windows Server 2016 上的计划任务窗口显示的内容：

如您所见，突出显示的任务是：

• 触发在每小时 xx:15 运行，
• 计划在 19:15 再次运行，并且
• 最后一次运行时间是 16:15。

当我大约一个小时前检查时，“下一次运行时间”是“08.02.2017 18:15:00”。但是，正如您在屏幕截图中看到的那样，它没有运行，而且任务历史也没有告诉我原因。

为了完整起见，任务的其余设置为：

• 常规选项卡：SYSTEM 帐户，“以最高权限运行”。
• 条件选项卡：未选中。
• 设置选项卡：选中“允许按需运行任务”、“如果任务运行时间超过 3 天则停止任务”和“如果正在运行的任务在请求时未结束，则强制停止”。如果任务已在运行，则选择“不启动新实例”。

我可以采取哪些步骤来找出任务有时无法启动的原因？

作为一家小商店（约 10 台 PC），我们只有一台物理服务器机器。此物理服务器机器运行以下两个虚拟机：

• 一个 AD 域控制器和
• 一台“生产服务器”（文件服务器、数据库服务器等）。

现在，所有最佳实践指南都告诉我，强烈建议使用第二个 AD 域控制器（“备份 DC”）。

把它放在与主 DC 相同的物理机器上似乎毫无意义，所以我想把它作为一个 VM 放在通常运行 24-7 的更强大的工作站之一上。由于它只是一个备份 DC，我会给它很少的 CPU/RAM 资源，所以它不会对用户造成太大影响。

这听起来像是一个好计划还是有什么我应该注意的陷阱？

我有一个（物理的，不是 Azure VM！）Windows 服务器，其文件使用Azure Backup自动备份。

如果服务器受到威胁，攻击者可以对备份造成多大的破坏？

背景：不幸的是，新一代勒索软件倾向于主动搜索和删除备份（卷影副本、外部硬盘驱动器等）。我想他们也开始瞄准云备份只是时间问题。

我已经做过的研究：我认为攻击者可能造成的最严重损害是将保留期降低到最短 7 天，从而破坏一周以上的备份。我查看了Azure Backup Powershell Cmdlet（这似乎是 Azure 备份检测的官方 API），但没有找到任何显式删除或覆盖恢复点的方法。

相关问题： 保护 Azure 备份免遭恶意删除。这个问题是关于 Azure 管理凭据被泄露的情况。我的问题是关于只有保险库注册的服务器受到损害的情况，但管理凭据是安全的。

我们有以下设置：

• 一个域控制器（DC，Server 2003 R2 Standard x64）
• 一台 SQL Server ( SQL , Server 2008 R2 Standard x64)
• 一些客户。

所有机器都在同一个域中。所有正在使用的用户帐户都是域帐户。SQL运行每个 SQL Server 2005、2008、2008R2、2012 和 2014 的一个实例。

从今晚开始（DC重新启动以安装自动 Windows 安全更新），通过 Windows 身份验证访问 SQL 2005、2008 和 2008R2 实例不再正常工作：

访问这些实例之一时

• 来自其中一位客户
• 使用 Windows 身份验证

出现以下错误（这是 2008R2 消息，2005/2008 消息类似）：

登录失败。登录来自不受信任的域，不能用于 Windows 身份验证。（Microsoft SQL Server，错误：18452）

显然，消息文本不适用，因为只有一个域。

现在令人惊讶的是：一旦用户登录SQL（启动 RDP 会话，甚至只是运行runas /user:MYDOMAIN\someuser cmd并保持窗口打开），该用户就可以毫无问题地从所有客户端访问所有 SQL Server 实例，直到进程运行该用户的凭据已关闭。

这意味着我可以通过对SQL上的所有用户执行一次上述 runas 命令（并保持窗口打开）来解决这个问题，但是，显然，有些东西被严重破坏了。我怀疑今晚在DC上的安全更新与它有关（因为这是唯一改变的东西），但我宁愿避免卸载并重新启动其中的每一个（安装了 12 个更新，而DC确实又旧又慢）。

有没有人遇到过这个问题并且知道如何永久修复它？任何其他想法（除了花接下来的几天成为 Kerberos 专家）？

假设我有一台连接了 UPS 的 Windows Server 2012 R2 服务器。

是否有一种通用方法可以在电源出现故障时关闭 Windows Server 2012 R2，即系统切换到电池供电？

我知道大多数 UPS 供应商都提供专有软件来做到这一点，并且网上有很多关于如何配置它们的教程。但是，我想创建一个通用服务器映像，它将在具有（可能）不同 UPS 系统的各种服务器上运行。有没有办法在不安装供应商特定软件的情况下做到这一点？

假设我有启用 VSS 的卷 C:\，并且有一些文件C:\somefile.txt已经存在了一段时间。

• 今天，我删除C:\somefile.txt. 由于启用了 VSS，它仍然包含在昨天的 VSS 快照中。
• 删除文件后，我使用 Windows Server Backup 进行完整系统备份。
• 备份后，服务器被擦除。

从完整系统备份还原服务器时，是否somefile.txt仍可恢复？换句话说，Windows Server Backup 是否还备份“以前的版本”或仅备份系统的当前快照？

背景：我需要在备份之前删除一些敏感数据，并且我想确保无法从备份中恢复数据。

我想使用awstats进行网站统计。是否有一些免费的 Perl 发行版可以很好地与 IIS 7 配合使用？

这是我尝试过的：

• 谷歌搜索perl iis产生了很多教程，所有这些都参考ActivePerl。唉，如果您想在“面向外部”或生产服务器上使用 ActivePerl，则需要每年 999 美元的许可证（请参阅ActivePerl 社区许可协议的第 4b 节或此 SO 问题）。
• Perl 下载页面还提到了Strawberry Perl和DWIM Perl，它们的主页上都没有提到 IIS。由于有多种方法可以将软件集成到 IIS（ISAPI、CGI、Fast-CGI 等），我想要明确提及它应该如何集成到 IIS 中。

还有其他我错过的选择吗？

我需要一个用于基于 IIS 的 Web 服务器的操作系统，该服务器应同时提供公共和私有（需要身份验证）Web 内容和服务。（换句话说，它应该承载我们用 ASP.NET 开发的所有东西。）

查看Windows Server 2012 Editions，Essentials版本似乎很合适：

• 它不需要 CAL。
• 25 个用户的限制应该不是问题，因为唯一的 Active Directory 用户是管理员上传或配置软件，或“服务帐户”，例如，用于 SQL Server。

另一方面，Microsoft 的其他文档将Server 2012 Essentials描述为Windows Small Business Server的继任者，它与典型的Web 服务器截然不同。

将 Server 2012 Essentials 用作公共 Web 服务器时，是否会出现令人讨厌的意外情况？

假设我有一项日常维护任务：

1. 备份所有数据库，然后
2. 删除超过 3 天的备份。

现在假设第 1 天的第一次备份，从 10:00 开始，产生以下文件

db1.bak 2012-01-01 10:04
db2.bak 2012-01-01 10:06

现在假设在第 4 天，维护任务的第一步（备份数据库）恰好在 10:05 完成。请问SQL Server

• 删除 db1.bak 并保留 db2.bak（合乎逻辑，但可能会让用户感到惊讶）或
• 保留两者或
• 删除两个？

我知道我可以为每个用户启用/禁用 OWA、POP3 和 IMAP。但是，我希望某个特定用户能够仅通过 OWA 而不是通过 Microsoft Outlook（它可以通过 RPC over HTTPS 访问 Exchange Server）进行连接。其他用户应该能够使用 MS Outlook。

所以，基本上，我想为一个特定的用户锁定 RPC over HTTPS 访问（目前工作正常）。

有可能这样做吗？我正在使用 Exchange Server 2003。

我们需要为 Windows XP 笔记本配备 SQL Server 数据库（仅供本地使用）。SQL Server Express 会很棒，但数据库大于 4GB。解决此问题的最佳（和/或最便宜）方法是什么？Express 功能就足够了，只是 4GB 的限制造成了麻烦。

我们正在考虑 SQL Server Workgroup，但这似乎只有 5 个 CAL 可用，这真的没有必要......

澄清：我真正在寻找的是单工作站与 SQL-Server-Express 方案的推荐升级路径。当数据库略低于 4GB 时，一切正常。现在它略高于 4GB，我们需要用没有限制的东西替换 SQL Server Express。

是否有“推荐的方式”来禁用 Debian 中的服务？（禁用 = 服务已安装，但在机器启动时不会自动启动。）

我知道你可以update-rc.d -f service remove（这基本上删除了 中的链接rcX.d），但是这样做会丢失服务的序列号（SXXservice，其中 XX 是序列号），当你想重新启用服务时会变得更加困难。我也知道我可以重命名链接，rcX.d这样它们就不会以S（或将它们移动到其他地方）开头，但我想知道是否有一些“Debian 认可的最佳实践”方法来做到这一点。

在我们的 Windows Server 2003 上执行以下 VBScript

Set p_shell = CreateObject("WScript.Shell")
p_shell.RegRead("HKEY_USERS\S-1-5-19\")

产生以下错误

C:\Documents and Settings\Administrator\Desktop>cscript test.vbs
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

C:\Documents and Settings\Administrator\Desktop\test.vbs(2, 1) WshShell.RegRead:
 Unable to open registry key "HKEY_USERS\S-1-5-19\" for reading.

尽管用户（管理员）肯定拥有必要的权限。直接从命令行读取密钥有效：

C:\Documents and Settings\Administrator\Desktop>reg query HKEY_USERS\S-1-5-19\ /ve

HKEY_USERS\S-1-5-19
    (Default)    REG_SZ    (value not set)

并且权限（如 regedit 所示）是默认的：完全控制（本地服务、系统、管理员）、读取（受限）。

为什么 VBScript 无法读取密钥的默认值？在 Vista 机器上执行相同的脚本（提升）工作正常。

（我知道这个脚本没有任何用处——这是一个演示问题的最小示例。）

我刚刚阅读了很多 MSDN 文档，我想我了解不同的恢复模型和备份链的概念。我还有一个问题：

完整数据库备份是否会截断事务日志（使用完整恢复模式）？

• 如果是：MSDN 中在哪里提到了这一点？我只能找到只有 BACKUP LOG 会截断日志。

• 如果不是：为什么？既然完整的数据库备份会启动一个新的备份链，那么将完整备份之前完成的事务保持在日志中的意义何在？