我们正在开发基于网络的销售点应用程序，虽然它主要在浏览器中运行，但也需要与信用卡读卡器等硬件设备集成。为了提供硬件集成，我们使用ATL在C++中实现了几个简单的ActiveX控件。我们不是经验丰富的Windows开发人员，很难理解ActiveX控件的安装过程和安全模型。显然，这是我们的用户实际能够运行我们的应用程序的先决条件。:)我们正在尝试确定典型的非特权用户(非管理员、非高级用户)所需的最精细和最严格权限集从作为Web应用程序的一部分通过HTTP提供的签名.cab文件安装和更新特定ActiveX控件(与任何ActiveX控件相对)。对于XP(SP2+)和IE6，以及更新的操作系统/

我需要授予特定帐户SERVICE_STARTpermissions对于给定的Windows服务。似乎有一些方法可以做到这一点here，但更喜欢PowerShell原生的方法，并且不需要外部工具，例如。通过使用Get/Set-ACLcmdlet，或调用一些.NETAPI。有人知道如何以这种方式做到这一点吗？提前致谢。 最佳答案 为此，我认为您应该考虑使用subinacl.exe，您可以downloadhere.从它的下载站点描述为:SubInACLisacommand-linetoolthatenablesadministrators

这个问题已经过时了。从SDK1.5开始packagesarenolongerencrypted。原来是Azure角色服务包areencryptedsothatonceapackageisproducedonlyAzureruntimecandecryptit.很好，但作为BruceSchneiersays,Therearetwokindsofcryptographyinthisworld:cryptographythatwillstopyourkidsisterfromreadingyourfiles,andcryptographythatwillstopmajorgovernment

我想在本地常规用户帐户下运行的应用程序中写入一个文件并在服务中读取它。什么是正确的文件夹？我想避开%APPDATA%(CSIDL_APPDATA)文件夹，因为服务需要知道这个文件夹在哪里(服务在系统帐户下运行)。我检查了%ALLUSERSPROFILE%(是CSIDL_COMMON_APPDATA吗？)，它指向我的Win7x64上的c:\ProgramData。但是这个文件夹不允许普通本地用户修改(我检查了文件夹properties，security选项卡)。%CommonProgramFiles%也是如此。我需要支持WinXP及更高版本。 最佳答案

我有一个域，我在客户端计算机上使用AuthzGetInformationFromContextAPI来检索用户所属组的sid。它工作正常。但是，如果我将用户添加到某个组或将他从域Controller上的某个组中删除，此API仍会显示旧的组列表。在这种情况下，如果我等待10分钟或更长时间，它将显示更新的组列表。我尝试在不同的计算机上执行此操作，发现该应用程序会在不同的时间显示更新的组列表。所以，它不是域Controller缓存。此外，我的应用程序退出并重新启动。因此，它也不是应用程序级缓存。所以，我相信有一些计算机级别的缓存用于组成员(通过此API检索)。有谁知道如何以编程方式清除此缓存

我目前正在尝试让SoftHSM运行(在Windows平台上)。目标是在客户端和HSM服务器之间建立通信channel，以便可以在服务器端加密一些数据并将其发送回调用客户端。我从这个网站下载了一个:https://www.opendnssec.org/download/此外，我遵循了本页所述的文档:https://wiki.opendnssec.org/display/SoftHSMDOCS/SoftHSM+Documentation+Home-但除了创建几个插槽之外，我还没有做对任何事情。我运行了以下命令来创建插槽:softhsm--init-token--slot0--label"M

我的Windows服务使用CreateEvent创建了2个事件，用于与用户应用程序通信。该服务和用户应用程序未在同一用户帐户下运行。用户应用程序打开事件并将其设置为无错误地发出信号。但是该服务永远不会收到该事件。另一个事件以相反的方向起作用。所以我认为事件没有正确同步。服务:SECURITY_ATTRIBUTESsecurity;ZeroMemory(&security,sizeof(security));security.nLength=sizeof(security);ConvertStringSecurityDescriptorToSecurityDescriptor(L"D:P

我花了一整天的时间寻找答案，但没有运气。我需要能够在独立的Windows7PC上的本地安全策略中禁用密码复杂性。我曾尝试使用secedit.exe编写脚本。我也搞砸了C#。最终结果应该是一个脚本/程序，它将禁用该策略，然后在本地创建一个新的用户帐户。 最佳答案 经过一些深入的研究，我发现了如何去做。在这里发布代码以防其他人需要使用它。stringtempFile=Path.GetTempFileName();Processp=newProcess();p.StartInfo.FileName=Environment.ExpandEn

在Windows的安全体系中，一个用户可以属于多个组，一个组又可以包含其他的组。在Windows中解决权限冲突的“规则”是什么？例如，假设用户在A组和B组中。A组对文件具有“拒绝读取”，而“B组”具有“允许读取”。用户可以读取文件吗？如果用户本身已被拒绝阅读某些内容的权利，但它所在的组明确允许该权限怎么办？虽然我知道如何通过AccessRules获取特定文件系统资源的权限以及它们公开的权限，但由于规则针对的是特定的IdentityReference，它可能是用户或组，我已经看到冲突并正在尝试确定找出“谁赢了”的逻辑。...或者是否有一种已知的方式说“让我获得该用户的所有权利，同时考虑到

我已经为我的应用程序创建了一个特殊的用户帐户，我需要知道如何禁用交互式登录功能，以便它只能作为系统帐户使用。现在，我部署此应用程序的任何机器上，用户都会显示在登录菜单中。任何帮助表示赞赏。是帐户设置还是GPO？ 最佳答案 您真的要禁用交互式登录，还是只是将其从欢迎屏幕中隐藏？假设您在谈论后者(仅禁用交互式登录仍然不会从欢迎屏幕中删除)。这是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList下的