问题标签 [windows-security]

如何向特定用户授予特定权限（而非权限）？我很困惑，因为它似乎有“权限”和“特权”，我需要能够授予 SE_SYSTEMTIME_NAME 特权，以便我编写的一个软件可以修改 Windows 7 中的系统时钟。显然我需要授予这个特权所以我可以通过以下方式定义对 SetSystemTime 的调用：

但是，我不清楚如何授予此特权。我确实有管理员权限，所以我应该能够启用此权限。我一直在疯狂地试图弄清楚这一点。任何有关如何在 Windows 7 中获取权限的帮助将不胜感激。

简而言之，我想知道如何使用 Windows 7 用户界面或系统实用程序将 SE_SYSTEMTIME_NAME 权限授予我的帐户。如何获得此权限以便我可以设置系统时间？

我正在尝试使用以下代码控制远程机器上的服务：

当从我们本地域中的计算机运行并针对同一域中的计算机时，这可以正常工作，无论是使用当前登录用户的凭据还是使用其他凭据时。

但是，当我尝试以不在任何域上的计算机为目标时，OpenSCManager如果我指定的不是SC_MANAGER_CONNECT所需的访问权限，则调用将失败并拒绝访问。从域外的计算机定位域计算机是可行的（使用作为目标计算机本地管理员的域用户的用户/域/密码组合）。从域外的计算机定位域外的计算机不起作用。

用户/密码是目标计算机上管理员组的成员，因此帐户权限应该没有问题。

我已经使用sc -sdshow scmanager它检查了 scmanager 安全描述符，它对于域计算机和非域计算机是相同的。两者都运行 Windows 7 64 位。

我还测试过使用psexec，它具有相同的症状，即在域计算机之间可以正常工作，但在针对非域计算机时却不行。

我还测试了在目标机器上禁用 RPC over TCP 并重新启动它，因为这被描述为访问被拒绝错误的可能原因，但这似乎没有帮助。我还测试了在目标机器上禁用 Windows 防火墙，但没有改变。

是否需要启用某些设置才能使服务的远程配置正常工作？

我有一个客户端控制台应用程序，它有一些用户凭据 - 域\用户和纯文本密码。客户端应用程序通过调用 LogonUser (dwLogonType:LOGON32_LOGON_NETWORK) win32 API 获取该用户的 windowsidentity 对象。我使用 windowsidentity 来模拟和进行 WCF 服务调用（托管在不同的机器上）。WCF 服务配置为使用具有 Windows 集成安全性的 TCP 协议。调用失败并出现 SecurityNegotiation 异常并出现错误：远程服务器不满足相互身份验证要求。

我在这里的假设是服务器看到它拒绝的匿名客户端身份，因为端点配置为使用 Windows 集成身份验证。我的猜测是需要为 Windows 委派设置服务器帐户。我的猜测正确吗？

还，

1. 我选择的 dwLogonType = LOGON32_LOGON_NETWORK 是否正确？
2. LogOnUser (dwLogonType = LOGON32_LOGON_NETWORK) 返回的令牌能否用于进行远程 WCF 调用？

最近我一直在处理 windows LogonUser API。LogonUser api 根据传递给 API 的 dwLogonType 返回不同的令牌。该文件提到：

• 该函数返回一个模拟令牌，而不是主令牌。您不能直接在 CreateProcessAsUser 函数中使用此令牌。但是，您可以调用 DuplicateTokenEx 函数将令牌转换为主令牌，然后在 CreateProcessAsUser 中使用它。

• 如果将令牌转换为主令牌并在 CreateProcessAsUser 中使用它来启动进程，则新进程无法通过重定向器访问其他网络资源，例如远程服务器或打印机。一个例外是，如果网络资源不受访问控制，那么新进程将能够访问它。

我对不同的令牌类型完全感到困惑。我想了解什么是不同的 Windows 令牌类型以及它们有何不同？

我们正在尝试在项目中使用基本身份验证，它通常在我们的集成和 QA 环境中运行良好，甚至在 IIS 7.5 本地运行。但是在 IIS Express 中本地运行时，我们会遇到一些非常奇怪的问题——任何静态请求都会导致神秘的 HTTP 500 错误，告诉我们访问该资源时出现错误，可能是由于与权限相关的一些原因，错误代码为 0x80070542。同时，在 ASP.NET 中呈现的任何内容都是完美的。

粗略搜索表明该问题通常源于 IIS 的帐户无法访问这些资源。这已经失效了，IUSER 肯定可以访问资源——事实上，完全相同的文件夹在 IIS 7.5 中完美运行；只有 IIS Express barfs。只有当我们启用基本身份验证时——如果我们启用 Windows 身份验证，所有请求都会完美通过。

最后，我们尝试运行 sysinternals procmon 来确定我们是否正在查看正确的用户，以及是否是其他失败的用户，我们发现失败是由于 BAD IMPERSONATION 导致的。但试图找出谁在冒充什么是徒劳的。据我们所知，IUSER / NETWORK SERVICE / default 帐户确实具有适当的访问级别，因为 IIS 在生产模式下工作并且任何类型的访问测试都通过了。运行 IIS express 的帐户都是本地管理员，应该可以访问模拟。在本地安全策略中手动添加该权限没有任何区别。除了明确定义一个我真的不需要做的模拟用户之外，我只是看不到解决这个问题的方法。

那么，有没有一种正确的方法可以让 IIS Express 处理基本的身份验证和静态请求？

是否有生成 SDDL（安全描述符定义语言）字符串的工具？我想通过 Windows 的安全属性表或类似的东西来创建它们。

我有一台 Windows XP SP3 机器，我正在尝试在其上设置 URL 保留。我正在使用 httpcfg 实用程序来尝试设置以下netsh保留的等效项：

我正在参考这篇 MSDN文章。让我困惑的是必需的 ACL 参数

文档表明 ACL 必须作为 SDDL 格式的字符串传递，我对 SDDL 语法不是很熟悉，所以我不确定如何获取每个人的 SDDL 字符串。是否有一些默认的 SDDL 字符串可用于向各个组授予完全权限？还是我必须手动生成 SDDL 字符串？有没有其他方法可以像netsh一样简单地设置权限？

我正在编写一个 Python 脚本，它将自动从列表中登录用户。此脚本将每月运行一次，以防止帐户因活动不足而被禁用。下面是工作代码：

我的问题是，win32security.LogonUser() 会更新 Active Directory 中的“上次登录”时间戳吗？是否有其他方法可以在没有 Active Directory 服务器管理权限的情况下实现此目的？

谢谢

沃尔

我需要在 C++ 程序中授予对 Windows 上文件的访问权限。我浏览并从 MSDN 复制/粘贴代码并提出以下内容。据我所知，它一直在工作。

但是今天我偶然发现了 MSDN 中关于使用 AddAccessAllowedAceEx 的警告，上面写着：“调用者必须确保 ACE 以正确的顺序添加到 DACL。”。然后它向读者推荐：http: //msdn.microsoft.com/en-us/library/windows/desktop/aa379298 (v=vs.85).aspx

因此，我的请求是让任何经验丰富的 Windows 程序员查看下面的代码，并告诉我是否会在我正在修改的文件的 DACL 中遇到 ACE 排序问题（通过我的 szPath 传入功能）。我会说我只是将我的新 ACE 添加到了 DACL 的末尾。如果这将是一个问题，我是否真的必须从 DACL 中读出所有 ACE，检查它们，然后一次添加一个，确保将我的新 ACE 插入正确的位置以遵守正确的顺序？

}

我在我的办公室 PC 上看到了一些黑客攻击尝试。上周五我的电脑突然重启了两次，当我登录时，我的一些重要文件不在那里。刚删了。因此，我检查了事件查看器以查找有关此重新启动的原因。我得到了这些日志，并且在这些日志上看到了某人的 PC 名称。有人可以向我解释一下吗？

谢谢！