允許應用程式通過Windows防火牆-GPO

允許應用程式通過Windows防火牆-GPO

GPO Policy 設定位置:

電腦設定
原則=>Windows設定=>安全性設定=>具有進階安全性的Windows防火牆=>輸入規則

Server: win2019

Client: win7 and win10 , Test OK

GPO + script 加入本機管理員群組

GPO + script 加入本機管理員群組

轉載原文:   https://blog.pmail.idv.tw/?cat=98

之前在論壇上有朋友詢問網域權限委派的相關問題，主要的需求是讓某一個domain user

可以管理每一台用戶的電腦例如加入群組設定權限等，講明白一點就是讓該帳號隸屬本機

administrators 。

但是這一位朋友目前環境是所有網域用戶都手動加入本機管理員

他們需求是 usera 就是 pc a 的本機管理員群組，userb 就是 pc b 的本機管理員群組，以此

類推。

當然如果使用GPO受限群組，這樣原有的設定就會消失，這種情況就會比較適合手動將管理員帳號手動加入，不過要一台一台來很累人~~

有詢問該朋友是不是只有一個帳號要加入每個user PC的local administrators 群組如果是

就可以使用login script + gpo 來達成，將要的IT管理帳號加入PC(NB)本機管理員群組(批次

檔內容如下請參考)，讓開機時就跑批次檔來加入

net localgroup Administrators /add domian\帳號

和平轉移五大角色與移除死掉的DC方法

以下資料是由Ison撰寫網址http://www.shy.idv.tw/viewthread.php?tid=168

一.和平移轉:當第一台DC活著時,儘量用和平移轉的方式,將5種角色,移轉至第2台DC,分散工作份量.

(一).Schema Master(架構主機)

1.有權力操作的群組： Schema Admins群組才有資格修改 Schema 的內容

2.操作的工具，必須先經過註冊

(1)下指令Regsvr32 schmmgmt.dll

(2)使用mmc掛入”Active Directory架構”嵌入式管理單元

(3)變更網域控制站

(4)按下指定名稱，輸入即將成為新角色持有者的網域控制站名稱

(5)操作主機-->變更

(二)Domain Naming Master(網域命名操作主機)

1.功能：控制 Forest 中，新增移除網域的行為。

2.有權力操作的群組：Enterprise Admins

3.操作的工具：Active Directory網域及信任

選系統管理工具-->Active Directory網 域及信任-->Active Directory網域及信任(按右鍵)-->操作主機-->變更

(三)PDC Emulator(PDC操作主機)

1.功能：

(1)模擬Windows 2000前版(NT4.0)的PDC角色

(2)網域中時間同步化的主要伺服器

(3)預設為修改群組原則(GPO)的主要伺服器

2.有權力操作的群組：Domain Admins

3.操作的工具：Active Directory使用者及電腦

選系統管理工具-->Active Directory使用者及電腦--->對著AD網域(例chps.tcc.edu.tw)按右鍵-->操作主機-->PDC-->變更.

(四)RID Master(RID操作主機)

1.功能：

(1)分配 RID 的號碼給所有 DC

(2)避免物件(object)的 SID 重複

2.有權力操作的群組：Domain Admins

3.操作的工具：Active Directory使用者及電腦

選系統管理工具-->Active Directory使用者及電腦--->對著AD網域(例chps.tcc.edu.tw)按右鍵-->操作主機-->RID-->變更.

(五)Infrastructure Master(基礎結構主機)

1.功能：

(1).確保網域內建操作的物件一致性

(2).避免與GC同一台

2.有權力操作的群組：Domain Admins

3.操作的工具：Active Directory使用者及電腦

選系統管理工具-->Active Directory使用者及電腦--->對著AD網域(例chps.tcc.edu.tw)按右鍵-->操作主機-->基礎結構-->變更.

二、手動移除死掉的DC

第一：先將AD中五個operation roles移轉到第二台DC上

大致的操作順序如下，照著做就可以了

cmd

ntdsutil

roles

connections

connect to server "第二台DC的名稱"

quit

seize rid master

seize pdc

seize infrasturcture master

seize domain naming master

seize schema master

第二：清除NTDS內有關第一台DC的資料

照下列步驟做...

cmd

ntdsutil

metadata cleanup

connections

connect to server "第二台DC的名稱"

quit

select operation target

list domains

select domain "看螢幕選擇適當的號碼"

list sites

select site "看螢幕選擇適當的號碼"

list servers in site

select server "看螢幕選擇要第一台DC"

quit

remove selected server

詳細說明與範例

如何移除無效的DC

病狀：當Domain中的一台DC突然掛點，如果沒無法拿一台相同的硬體將之前的ghost倒回時，原來的DC(例DC1)因還沒有退出Domain，這時如何又做一台名為DC1的Server要加入Domain時就會出現錯誤訊息。這時就要做下列動作手動將已陣亡的DC1刪掉，如此才可將新的Server以DC1的名稱加入Domain。

以下所有命令皆在命令提示字元(CMD)下操作

C:\>ntdsutil

可用?查看有提供那些功能

ntdsutil:?

?                             - 顯示這個說明資訊

Authoritative restore         - 系統授權還原 DIT 資料庫

Configurable Settings         - 管理可變更的設定值

Domain management             - 準備建立新網域

Files                         - 管理 NTDS 資料庫檔案

Help                          - 顯示這個說明資訊

LDAP policies                 - 管理 LDAP 通訊協定原則

Metadata cleanup              - 清除在解除委任伺服器上的物件

Popups %s                     - 以 "on" 或 "off" 來啟用或停用快顯

Quit                          - 結束公用程式

Roles                         - 管理 NTDS 角色擁有者的權杖

Security account management   - 管理安全性帳戶資料庫 - 重複 SID 的清除

Semantic database analysis    - 語義檢查程式

Set DSRM Password             - 重設目錄服務還原模式系統管理員帳戶密碼

ntdsutil:  Metadata cleanup

metadata cleanup:  Connections

server connections: Connect to server dc1.worker.com(連線到有Schema Master的DC)

連結到 dc1.worker.com ...

使用本機登入的使用者認證來連線到 dc1.worker.com。

server connections: q (連線到DC後按q退到metadata cleanup的介面)

metadata cleanup:  

metadata cleanup:  Select operation target

select operation target: ?

在這個界面下可以看到很多AD的資訊。一樣可用?看有提供那指令

?                             - 顯示這個說明資訊

Connections                   - 連線到一個指定的網域控制站

Help                          - 顯示這個說明資訊

List current selections       - 列出目前的站台/網域/伺服器/命名內容

List domains                  - 列出所有含有交互參照的網域

List domains in site          - 列出在選取站台內的網域

List Naming Contexts          - 列出已知的命名內容

List roles for connected server - 列出連線伺服器所知道的功能

List servers for domain in site - 列出選取網域和站台所需的伺服器

List servers in site          - 列出在選取站台內的伺服器

List sites                    - 列出企業內的站台

Quit                          - 回到上個功能表

Select domain %d              - 將網域 %d 做為選取的網域

Select Naming Context %d      - 將命名內容 %d 當做選取的命名內容

Select server %d              - 將伺服器 %d 做為選取的伺服器

Select site %d                - 將站台 %d 做為選取的站台

select operation target:  List sites

發現 1 個站台

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com

select operation target: Select site 0 (因我們要刪除的DC1是在site 0故要下此指令)

站台 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com

沒有目前的網域

沒有目前的伺服器

目前沒有命名內容

select operation target: List domains in site

找到 1 個網域

0 - DC=worker,DC=com

select operation target: Select domain 0

站台 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com

網域 - DC=worker,DC=com

沒有目前的伺服器

目前沒有命名內容

select operation target: List servers in site

發現 2 台伺服器

0-CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com

1-CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com

select operation target: Select server 0 (我們要刪除的DC1是編號0)

站台 -CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com

網域 - DC=worker,DC=com

伺服器-CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,

DC=worker,DC=com

DSA 物件 - CN=NTDSSettings,CN=DC2,CN=Servers,CN=Default-First-Site-Name

,CN=Sites,CN=Configuration,DC=worker,DC=com

DNS 主機名稱 - DC2.worker.com

電腦物件 - CN=DC2,OU=Domain Controllers,DC=worker,DC=com

目前沒有命名內容

select operation target: q                              

下此行指令就可以將我們剛選擇的Server在AD上的所有記錄都刪除了

metadata cleanup: Remove selected server

修改遠端桌面的PORT

執行-->regedit

找到下面的位置

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

改成10進位的方式

打上你要的PORT號碼

最後重新開機。

掛載網路磁碟機

掛載網路磁碟機

http://203.68.238.27/main/index.php/ad/20130316ad 以NAS (網路附接儲存設備) 為例，做如下規劃：1. 使用者擁有10GB的個人網路硬碟空間 2. 建立「資源分享區」存放公用軟體 (使用者僅有下載無上傳權限)，NAS需支援Active Directory或LDAP目錄服務，即使不執行上述服務只要AD使用者帳密與NAS使用者帳密一致即可。 步驟一：在AD上建立個人網路硬碟空間連結至NAS 1. 在AD Server上開啟「Active Directory 使用和與電腦」a 使用者 (按滑鼠右鍵選「內容」) a 設定檔 a 主資料夾 a 連線Z磁碟機到NAS帳戶資料夾 2. 選擇「套用」 a 出現「Active Directory 網域服務」視窗，說明主資料夾的設定成功 a 連按2次「確定」完成設定。 3. 使用者登入後，在「我的電腦」內可發現多出 Z 磁碟機並以帳戶名稱命名的網路硬碟 步驟二：在AD上建立「資源分享區」連結至NAS 1. 建立使用者登入指令(Script)檔，檔名 TPCSoft.bat，內容如下：    @echo off    net use X: \\nas\資源分享區 2. 開始 a 系統管理工具 a 群組原則管理 a 樹系 a 網域 a 網域名稱 (例： Yingge.local) a 群組原則物件 a Default Domain Policy (滑鼠右鍵) a 編輯(E) a 使用者設定 a 原則 a Windows設定 a指令碼 - (登入/登出) a 登入 a  顯示檔案(S)... a將Script登入檔放入並關閉視窗 a 新增(D)... a瀏覽(B)... a選該Script檔 a開啟舊檔(O) a 確定 a 確定 3. 使用者登入後，在「我的電腦」內可發現 X 磁碟機「資源分享區」的網路硬碟

AD之Group Policy-套用順序和特性

AD之Group Policy-套用順序和特性

轉載至 http://melissa1208.wordpress.com/2011/01/17/itad之group-policy大哉問/

群組原則的套用範圍包含了站台、網域與組織單位等容器，套用機制具有下列特性：

繼承 (Inheritance)：

在 AD 架構中，下層容器會繼承上層容器之 GPO 設定。在整個繼承關係中，最上層為站台，其下依序為網域、組織單位；若有多層組織單位，則下層組織單位會繼承上層組織單位的 GPO。

累加 (Cumulation)：

在群組原則的套用上，下層容器會先套用繼承自上層容器的群組原則，再套用連結本身的群組原則。當上層的設定項目與下層不同時，有效群組原則是上下層的聯集；若是對同一項目做不同的設定，則先套用的原則 (上層原則) 會被後套用的原則 (下層原則) 覆蓋。

優先順序性 (Precedence)：

群組原則的套用順序為：本機→站台→網域→上層組織單位→下層組織單位。若不考慮「不可強制覆蓋」與「不要繼承原則」，原則上是“後套用的設定值覆蓋先套用的設定值”；若同一物件套用多個群組原則，在群組原則物件連結清單中，排在比較下面的 GPO 會先套用，然後依序套用上面的 GPO。

電腦設定生效時機

1. 電腦下次開機時。

2. 自動更新時間：在預設情形下，非網域控制站的成員電腦每隔 90 分鐘 ± 隨機時間（1~30 分鐘）向網域控制站要求更新電腦群組原則，網域控制站則每隔 5 分鐘更新群組原則。

3. 手動更新：執行指令「gpupdate /target:computer」或「gpupdate /force」立即更新。

使用者設定生效時機

1. 使用者下次登入時。

2. 自動更新時間：預設為 90 分鐘 ± 隨機時間（1~30 分鐘）。

3. 手動更新：執行指令「gpupdate /target:user」或「gpupdate /force」立即更新。

Group Policy套用順序：Site->Domain->OU

1.網域控制站安全性原則

(其設定可蓋過所有為網域控制站的本機安全性原則，不包含其網域下的其它工作站)

2.本機安全性原則

(儘限於該台網域控制站專用，但會被網域控制站安全性原則蓋過)

3.網域安全性原則

(其設定可蓋過所有該網域下工作站的本機安全性原則，不包含網域控制站)

4.組織的群組原則

(其設定可蓋過該組織下工作站的本機安全性原則，但會被網域安全性原則蓋過)

套用的順序為：本機–>站台–>網域–>組織單位，不互斥則有累加性，互斥則後蓋前。

route 指令說明-Windows設定Static Route 範例參考

route 指令說明-Windows設定Static Route 範例參考

● route add 用來加入路由路徑

例如：route add 192.168.0.0 mask 255.255.0.0 192.168.1.1 if 0x2 metric 20

指出 Network Destination、Netmask、Gateway、Interface 和 metric。

● route –p add 用來永久加入路由路徑，使用-p 參數可以保留路徑設定，不會因為電腦重開機而消失。

例如：route –p add 192.168.0.0 mask 255.255.0.0 192.168.1.1 if 0x2 metric 20。

● route delete用來刪除路由路徑。

例如：route delete 192.168.0.0 mask 255.255.0.0。

● route change用來修改現有的路徑設定。

例如：route change 192.168.0.0 mask 255.255.0.0 192.168.1.1 if 0x2 metric 10

將原先路徑設定的 metric 20 改為 10，這種修改最直接的影響就是改變路徑的選擇，如果有兩條路徑可以選之時，metric 較低的路徑將被優先考慮。

========= Windows 參考==========

C:\Users\user>route help

操控網路路由表。

ROUTE [-f] [-p] [-4|-6] command [destination]

                  [MASK netmask]  [gateway] [METRIC metric]  [IF interface]

  -f           清除所有閘道項目的路由表。如果這與其中一個命令一起使用，將

               會在執行命令之前清除表格。

  -p           與 ADD 命令一起使用時，路由設定在重新開機之後不會遺失。依

               預設，系統重新啟動時並不會保留路由。對於會影響適當的持續

               路由的所有其他命令則會略過。

  -4           強制使用 IPv4。

  -6           強制使用 IPv6。

  command      下列其中一個:

                 PRINT     列印路由

                 ADD       新增路由

                 DELETE    刪除路由

                 CHANGE    修改現有的路由

  destination  指定主機。

  MASK         指定下一個參數是 'netmask' 值。

  netmask      指定此路由項目的子網路遮罩值。如果沒有指定，將預設為

               255.255.255.255。

  gateway      指定閘道。

  interface    指定之路由的介面號碼。

  METRIC       指定計量，例如目的地的成本。

目的地使用的所有符號名稱將會在網路資料庫檔案 NETWORKS 中查詢。閘道的符號

名稱是在主機名稱資料庫檔案 HOSTS 中查詢。

如果是 PRINT 或 DELETE 命令，目的地或閘道可以是萬用字元 (指定星號 '*' 為

萬用字元)，或可以省略閘道引數。

如果目的地包含 * 或 ?，便會視為殼層模式，且只會列出相符的目的地路由。

'*' 表示與任何字串相符，而 '?' 表示與任何一個字元相符。範例:

157.*.1, 157.*, 127.*, *224*。

只有 PRINT 命令才允許模式對應。

診斷注意事項:

    不正確的 MASK 會產生錯誤，例如當 (DEST & MASK) != DEST 時。

    範例> route ADD 157.0.0.0 MASK 155.0.0.0 157.55.80.1 IF 1

          路由新增失敗: 指定的遮罩參數不正確。

(Destination & Mask) != Destination。

範例:

    > route PRINT

    > route PRINT -4

    > route PRINT -6

    > route PRINT 157*          ....只列印符合 157* 的項目

    > route ADD 157.0.0.0 MASK 255.0.0.0  157.55.80.1 METRIC 3 IF 2

                   目的地^      ^遮罩      ^閘道            計量^    ^

                                                               介面^

      如果沒有指定 IF，將會嘗試為指定的閘道尋找最佳的介面。

    > route ADD 3ffe::/32 3ffe::1

    > route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2

      CHANGE 只用來修改閘道及 (或) 計量。

    > route DELETE 157.0.0.0

    > route DELETE 3ffe::/32

查看 Office 使用的產品安裝金鑰後五碼教學

查看 Office 使用的產品安裝金鑰後五碼教學

從Office 2010，2013以上開始，已經很難查出office的安裝序號，去安裝office。

必須透過比對的方式，先查出後5碼，再登入微軟當初用來註冊的帳號，來核對出完整office金鑰。

1. 打開檔案總管，從 Office 安裝目錄中找到 OSPP.VBS 這個檔案。ps. 重要再提醒一次，在Office 安裝路徑找到OSPP.VBS。

2. 請於”命令提示字元”中，在Office的安裝路徑下，輸入以下指令來查詢：


cscript ospp.vbs /dstatus

保護視訊會議環境的七個建議

資訊參考來源:
https://blog.trendmicro.com.tw/?p=64034&fbclid=IwAR0XZZ0d6qbxHM2OmT0GVGLsWaL9KCwtQa-Bc7TwnpfCMFtKOsTh6f1A_KU


保護視訊會議環境的七個建議

1.始終為會議加上密碼保護。如「Zoom轟炸（Zoom-bombing）」這樣讓外來者造成會議崩潰的原因有兩個：第一，外部使用者在有意或無意間取得了會議ID。第二，會議沒有設定密碼。雖然企業可能無法控制第一個原因，但必須為所有的視訊會議加上密碼。


2.不要在公開平台上分享會議資訊。惡作劇者（或更糟）只要擁有會議識別資訊就可以連上沒有防護的視訊會議。儘管透過社群媒體等公開平台分享會議資訊看似很方便，但使用者應該要避免這樣做，因為這可能會導致會議中斷和其他惡意活動。請注意，像Zoom這類應用程式會為使用者提供個人會議ID，這實際上（顧名思義地）就是使用者的個人會議空間。


3.善用主持人（host）功能。視訊會議軟體通常會提供主持人功能，讓會議舉辦者可以主持會議，如管理或刪除與會者，或是完全鎖住會議室。會議開始之後，後者可以有效地防止被惡意中斷。主持人還可以採取的另一個謹慎措施是停用與會者的自動螢幕分享，防止惡意破壞者分享令人反感的素材。


4.利用等候室或大廳功能。大多數的視訊會議軟體都具備等候室或大廳功能，讓與會者等待加入會議。這些等候室可以讓會議主持人控制在特定時間內有哪些人可以參加特定會議。此功能還可以讓主持人檢查誰在試著加入會議。


5.通知使用者會議是否正被錄製。儘管這乍看之下似乎與資安無關，但主持人仍應告知與會者是否會錄製會議，確保在涉及隱私問題時讓每個人都在狀況內。


6.停用檔案傳輸功能。嘗試利用視訊會議軟體的駭客有時會用會議室或聊天室功能上傳檔案，讓與會者不小心的下載。為了將此機會降至最低，會議主持人應停用檔案傳輸功能，改用其他方法（如電子郵件）來發送檔案。


7.保持更新到最新版本。修補程式有其存在意義 – 不是為了加入新功能就是要修復錯誤和漏洞，尤其是那些可被利用來攻擊的軟體漏洞。使用者應該要保持軟體更新在最新版本來解決漏洞問題。


當前的情況讓視訊會議成為遠端工作必不可少的一部分 – 而且很可能會在回復正常狀態後延續下去。隨著這類應用程式變得越來越普及也更加融合入業務環境，資安也成為了更加重要的問題。儘管這些最佳實作不能確保視訊會議萬無一失，但可以幫助企業或個人使用者獲得更好、更安全的使用體驗。

Draw.io 免費中文版流程圖單機電腦軟體

Draw.io 免費中文版流程圖單機電腦軟體

https://www.diagrams.net/

以前是線上版，但是我對線上版有疑慮。
現在有單機版，不但免費，圖庫又多，超好用。

https://github.com/jgraph/drawio-desktop/releases

有windows 安裝版外，還另外有免安裝版。
超讚，超佛心的軟體。

透過TestDisk 救回在 Qnap 刪除的資料。

透過TestDisk 救回在 Qnap 經由HBS 3 Hybrid Backup Sync救回磁碟區內因同步刪除的檔案(Linux 可參考)


參考資訊: http://qnapsupport.net/teknik-destek/raid-0-5-6-ve-10dan-veri-kutarma/photorec-ile-veri-kurtarma/

準備工具: 一個大容量的USB硬碟。(此依救回的檔案大小而定)

下載TestDisk:
http://www.cgsecurity.org/wiki/TestDisk_Download

因工作環境是Linux base，請下載linux x64版本。

步驟開始:
1.下載完成，TestDisk 解壓縮放到Qnap Public Folder。(可以透過 file station放進去)
2.將準備好的外接USB硬碟，插進NAS機器，建議file system，使用EXT4。
3.透過putty tool， ssh 進到Qnap。
4. 進# cd /share/Public
5. CLI: # [/share/Public/testdisk-7.2-WIP] # ./testdisk_static
6. 用 mount 指令，來看掛載資訊。


7. 參考下圖:

圖一: TestDisk 操作介面

圖二: 透過mount，判斷磁碟位置和USB位置

圖三: 選擇到磁碟位置內，我選擇None。

圖四: TestDisk 顯示partition 資訊。

圖五: 選擇你想要救資料的位置路徑

8. 接下來操作TestDisk介面，選擇要救的位置。
9. 操作TestDisk介面，選擇存放目標的位置。 (就是外接USB硬碟位置)
10. 選擇完成後，將會開始跑，接下來，將會提示 "Copy done"訊息，就完成了。
11. Disk 救回在 Qnap 經由HBS 3 Hybrid Backup Sync救回磁碟區內因同步刪除的檔案(Linux 可參考)
12. 接下來，就隨意取用啦。


注意事項:
1. 若要開始救資料，建議目標，不要再有寫入的動作。
2. 因為參考資訊有chmod的動作，但我沒有改，純取用，我就不改了。
3. 每個動作都要小心應對，若不清楚，可以問Qnap工程師。(但他們很不想講這塊，因為這些操作，最好要有一些linux基礎，而且有風險，不保證可以正常運作。)

Office Word 插入打勾、打叉與方格符號

Word 輸入打勾、打叉與方格符號，插入方框選項圖案


Word 插入符號
Windows 中本身其實就有內建許多，方框與打勾等符號，只不過要透過插入符號的方式來輸入。

STEP 1
從「插入」籤頁中，選擇「符號」工具，這裡會有一些常用的符號可以使用，例如空白方框就可以在這裡找到。

Word 插入符號


STEP 2
從「符號」工具點選要插入的符號，就可以直接將選擇的符號插入至 Word 檔中，如果要製作用來列印紙本的問卷，用這種大方格就很適合。

Word 問卷選項方格


STEP 3
對於需要直接以 Word 電子檔填寫的人，就會需要更進一步的打勾方框符號，請選擇「符號」工具中的「其他符號」。

Word 插入其他符號


STEP 4
將字型調整為 Wingdings 2，然後就可以從下方的符號表中選擇打勾、打叉以及方框的符號了。


Wingdings 2 字型符號

STEP 5
這是使用 Wingdings 2 所製作出來的問卷表格，使用合適的符號可讓表單看起來更美觀。

Word 問卷表單


如果需要箭頭的符號，可以從 Wingdings 3 的字型符號中尋找。


Wingdings 3 字型符號

最後補充一的小技巧，如果在 Word 檔中有很多地方都需要插入相同的符號，在第一次插入符號之後，可以把需要用的符號用滑鼠選取並複製起來，然後直接貼在需要插入符號的位置，這樣就不用重複插入符號的動作，可節省很多時間。