curropar's questions

我希望我组织中的客户端计算机从组织内部的集中位置更新根证书。这曾经与 WSUS 一起工作，但我认为微软在 2014 年放弃了这种方式。

关键是客户不能直接访问互联网，而是通过带有身份验证门户的代理，就像在酒店一样。此代理属于第三方/父组织，会在 8 小时后自动注销客户端。因此，当客户端尝试从 Microsoft 站点更新证书时，客户端无法访问 Internet，它会记录错误事件。

这本身没什么大不了的。但是当我们的客户端将错误事件转发给事件收集器时，这个服务器就会被这些错误淹没。

忽略这些错误不是（理想的）选项，因为我们可能会忽略实际上没有更新证书的客户端，即使可以访问互联网。

有任何想法吗？

我正在做一个 PowerShell 脚本，以便更快地关闭大型 Windows Server 2008 R2 文件服务器上的锁定文件（此时打开了 2500 多个文件，高峰时间就像 3-4 小时前），我会在net files或之间进行选择openfiles。所以我选择了openfiles更新的版本，它可以提供文件的完整路径（net files也可以这样做，但你必须查询每个 ID）。

我遇到了问题：某些文件无法关闭。我检查了网络文件，一切正常......所以我开始仔细观察，这是我发现的（摘录）：

C:\> net files

ID         Path                                    User name            # Locks

-------------------------------------------------------------------------------
3221368833 G:\Users\...                            SomeUser              3
2550215683 G:\Users\...                            SomeUser              3
3422797829 G:\Users\...                            SomeUser              0
805310474  F:\Recursos\...                         SomeUser              3
335585292  G:\Users\SomeUser\My Documents          SomeUser              0
4026636306 G:\Users\SomeUser\Desktop               SomeUser              0
2684396568 G:\Users\...                            SomeUser              0
2952839192 G:\Users\...\EXCEL\SomeFolder2016       SomeUser              0
4160993304 G:\Users\...                            SomeUser              0
1610613364 F:\Recursos\Suministros                 SomeUser              0
The command completed successfully.

C:\> openfiles /query /v

Files opened remotely via local share points:
---------------------------------------------

Hostname        ID       Accessed By          Type       #Locks     Open Mode       Open File (Path\executable)

=============== ======== ==================== ========== ========== =============== ============================================================================
MyServer        32213688 SomeUser             Windows    3          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].XLS
MyServer        25502156 SomeUser             Windows    3          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].xls
MyServer        34227978 SomeUser             Windows    0          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].xls
MyServer        80531047 SomeUser             Windows    3          Write + Read    F:\Recursos\Suministros\[SomePath].xls
MyServer        33558529 SomeUser             Windows    0          Read            G:\Users\SomeUser\My Documents
MyServer        40266363 SomeUser             Windows    0          Read            G:\Users\SomeUser\Desktop
MyServer        26843965 SomeUser             Windows    0          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].XLS
MyServer        29528391 SomeUser             Windows    0          Read            G:\Users\SomeUser\My Documents\EXCEL\SomeFolder2016
MyServer        41609933 SomeUser             Windows    0          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].XLS
MyServer        16106133 SomeUser             Windows    0          Read            F:\Recursos\Suministros

等等，ID 不一样……天啊，不，openfilesID 被截断了！！

所以很明显，对于脚本本身，我现在要net files获取 ID，查询每个 ID，以便获得完整路径，然后我可以重用脚本的其余部分。

但是为了我的理智：这是一个错误吗？一个特点？Windows Server 2008 R2 不是新的，我找不到任何参考，更不用说修复了！

由于新的公司政策，我必须对公司 NAS 上的音频和视频文件应用文件筛选，特别是在用户的配置文件上。我进行了一些测试，它运行良好，除了用户无法删除他们的旧文件，因为新政策要求他们这样做。

我猜这是“这是一个功能，而不是错误”的事情，并且没有解决方案；但我试图至少找到一个解决方法。有任何想法吗？

我试图找到一种方法为几个 GPO（大约 50 个）中的某个组设置“应用策略”为“拒绝”，所以当我在一个（显然）使用以下脚本放弃了博客：

$strGroup = "my group" 
$strGPO = "my GPO"

$GroupObject = Get-ADGroup $strGroup 
$GroupSid = new-object System.Security.Principal.SecurityIdentifier $GroupObject.SID 
$GPOObject = Get-GPO $strGPO

$GPOPath = $GPOObject.path 
$GPOADObject = [ADSI]"LDAP://$GPOPath" 
$GPOObjSec = $GPOADObject.psbase.ObjectSecurity 
$GPOACLList = $GPOObjSec.GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier])

$extRight = [system.guid]"edacfd8f-ffb3-11d1-b41d-00a0c968f939" 
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid,"ReadProperty, GenericExecute","Deny","None" 
$ace2 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid,"ExtendedRight","Deny",$extRight,"All" 
$GPOADObject.psbase.get_objectSecurity().AddAccessRule($ace1) 
$GPOADObject.psbase.get_objectSecurity().AddAccessRule($ace2) 
$GPOADObject.psbase.CommitChanges()

$GPOGPTstr = "\\"+$GPOObject.DomainName+"\SYSVOL\"+$GPOObject.DomainName+"\Policies\{"+$GPOObject.Id+"}" 
$acl = Get-ACL $GPOGPTstr

$acl.SetAccessRuleProtection($True, $False) 
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule($strGroup,"ReadAndExecute", "ContainerInherit, ObjectInherit", "None", "Deny") 
$acl.AddAccessRule($rule) 
Set-Acl $GPOGPTstr $acl

我已经添加了一个foreach循环，以从文本文件中获取我的组。它可以工作，除了第 14 行：

$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid,"ReadProperty, GenericExecute","Deny","None" 

这会引发以下错误：

new-object : Multiple ambiguous overloads found for "ActiveDirectoryAccessRule" and the argument count: "4".
At .\denyApplyGPOtoGroup.ps1:16 char:10
+     $ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid ...
+    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [New-Object], MethodException
    + FullyQualifiedErrorId : ConstructorInvokedThrowException,Microsoft.PowerShell.Commands.NewObjectCommand

当然，第 16 行失败，$ace1就像$null. 尽管如此，脚本还是有效的：基本上，权限被正确地应用到 GPC，而不是 GPT，这对代码和抛出的错误是有意义的。所以当我去 GPMC，点击 GPO，我收到一条消息说：

“SYSVOL 文件夹中此 GPO 的权限与 Active Directory 中的权限不一致。建议这些权限保持一致。要将 SYSVOL 中的权限更改为 Active Directory 中的权限，请单击“确定”。”

单击“确定”可修复混乱，但仍在寻找解决此变通办法的方法……有什么想法吗？