Вопросы Теги

Как я мог включить SeSecurityPrivilege?

Хотите верьте, хотите нет, проблема состояла просто в том, что Почте для Exchange не нравилась точка доступа, которую я настроил для него. Я изменил его для использования места назначения "WAP Services", которое было предопределено на моей гарнитуре. Я пытался воссоздать новое место назначения, содержащее только пакетную точку доступа к данным, и немедленно она перестала работать снова.

Указатели:

1) В корне телефонной памяти существует папка под названием "MailForExchange". Здесь Вы найдете файлы журнала, которые говорят Вам, что на самом деле происходит, иначе Вы летите слепой.

2) Необходимо преобразовать Вас сертификат SBS от .cer файла до .der файла и установить его на гарнитуре. Существуют онлайн-сервисы, чтобы сделать это для Вас.

3) Именем сервера, которое необходимо использовать, является просто URL, который решает к серверу, никаким дополнительным путям, или что-либо требуется. например. sbs.oursite.com корректно для Почты для Exchange, если Вы используете http://sbs.oursite.com/exchange/ для веб-доступа Outlook.

4) Порты 80 и 443 потребности, которые будут переданы на Вашем маршрутизаторе внутреннему IP-адресу Вашего сервера. Это уже сделано при использовании Веб-доступа Outlook.

3
задан 8 April 2017 в 11:51
2 ответа

Итак, я смог пройти этап проверки правил SQL Server. Мне пришлось добавить индивидуальную учетную запись администратора к следующим параметрам политики:

  • Резервное копирование файлов и каталогов
  • Отладка программ
  • Управление журналом аудита и безопасности
  • Восстановление файлов и каталогов
  • Принять права собственности на файлы или другие объекты

Не имело значения, что я был членом группы Администраторы и что группа администраторов была включена в эти настройки. Мне пришлось явно добавить индивидуальную учетную запись пользователя. Я запустил gpupdate / force . Затем я вышел из системы и снова вошел в систему. Затем я смог установить исправление.

Но даже после всего этого, когда я запустил команду PowerShell whoami / priv , SeSecurityPrivilege ] по-прежнему показывал "Отключено".

3
ответ дан 3 December 2019 в 06:34

Этот вопрос возник, когда я столкнулся с похожей проблемой, и было немного сложно собрать все воедино, поэтому я добавлю кое-что здесь. Я не собираюсь писать полное руководство, поэтому я просто предоставлю несколько указателей.

Судя по тому, что я могу найти, дело не в том, работает «от имени администратора» или нет. По крайней мере не только. Запуск от имени администратора сделает больше привилегий доступными, но не (обязательно) включенными.

В качестве примера, вот привилегии, которые я получаю без «как администратора»: 

PS H:\> whoami /priv

PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                    State   
============================= ============================== ========
SeChangeNotifyPrivilege       Bypass traverse checking       Enabled 
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled

Используя ту же учетную запись, но «как администратор», я получаю гораздо больше доступных, но все еще в основном отключенных: 

PS C:\Windows\system32> whoami /priv

PRIVILEGES INFORMATION
----------------------

Privilege Name                            Description                                                        State   
========================================= ================================================================== ========
SeIncreaseQuotaPrivilege                  Adjust memory quotas for a process                                 Disabled
SeSecurityPrivilege                       Manage auditing and security log                                   Disabled
SeTakeOwnershipPrivilege                  Take ownership of files or other objects                           Disabled
SeLoadDriverPrivilege                     Load and unload device drivers                                     Disabled
SeSystemProfilePrivilege                  Profile system performance                                         Disabled
SeSystemtimePrivilege                     Change the system time                                             Disabled
[...]

Чтобы запустить что-то, требующее определенной привилегии, эта привилегия также должна быть включена. Невозможно включить привилегию, если она сначала не доступна для учетной записи. Сделать его доступным можно, назначив разрешения группам/пользователям и/или запустив "от имени администратора". Чтобы затем также включить его, необходимо вызвать различные методы, и, по-видимому, для этого нет собственного метода Powershell.

Это помощник Powershell, который я нашел (не тестировал) для переноса нативных вызовов, необходимых для включения привилегий:

https://medium.com/@markmotig/enable-all-token-privacys-a7d21b1a4a77 ​​https://www.leeholmes.com/adjusting-token-privacy-in-powershell/ https://github.com/fashionproof/EnableAllTokenPrivs

Эта страница Microsoft также интересна: Выполнение привилегированных операций Интересно, как отмечено на этой странице, если у вас есть удаленное подключение, привилегии всегда включены:

По умолчанию, локальный пользователь на компьютере может читать статические данные из Репозиторий WMI, запись в экземпляры, предоставленные провайдерами, и выполнение методы провайдера, если только провайдер не применяет специальные меры безопасности требования свои. Только администраторы могут подключаться к удаленному компьютер, изменить дескрипторы безопасности или изменить статический репозиторий WMI данные, такие как определение класса WMI. Все привилегии включены для удаленное подключение. Дополнительные сведения см. в разделе Защита удаленного WMI. Связь.

0
ответ дан 18 May 2021 в 16:57

Теги

Похожие вопросы