gpc腳本
㈠ Win7啟動後出現Group Policy Client怎麼處理
1
Win7系統,登陸系統提示group policy client服務未能登陸拒絕訪問。
2
解決方案:
帶領用戶開機時,不停點擊F8按鍵,在彈出的」高級啟動選項」中使用鍵盤上的方向箭頭中的向下箭頭移動白色高亮條,選擇」安全模式」,敲擊回車鍵;
3
進入安全模式界面時,記錄用戶電腦需要登錄的用戶名(即出現問題,無法登錄的用戶名)(例如:administrator);
4
進入安全模式後,找到C:\windows\regedit.exe,雙擊regedit文件,打開」注冊表編輯器」;
(或者點擊開始菜單,然後在」開始搜索」中輸入regedit,然後點擊搜索出來的」regedit.exe」)
5
在注冊表編輯器中,找到」 HKEY_CURRENT_USER」,右鍵點擊此項;
在彈出的菜單中選擇」許可權」;
彈出的許可權界面中,點擊」添加」按鈕;
在」輸入對象名稱來選擇(E)」下面輸入剛才記錄的用戶登錄名,點擊確定;
返回許可權窗口,檢查」組或用戶名」中會多出一個用戶,並且此用戶處於選中狀態;在」許可權」窗口的」完全控制」後面的小方塊中,用滑鼠左鍵點擊,打上勾;點擊確定按鈕。
同樣的方法,添加用戶」system」,並設置完全控制許可權。
重新啟動電腦,並選擇自己的賬戶登錄即可。
方法二:知識編號:079500
1、進入安全模式後,選擇之前出現問題的賬戶登陸,此時會發現可以正常登陸,進入桌面後,下載本文檔附件中的腳本文件,使用WinRAR或其它解壓軟體將文件解壓完成;
2、右鍵點擊gpc.bat,選擇「以管理員方式運行」;
3、稍等1分鍾左右,腳本運行完成後系統會自動重啟;
4、正常進入系統使用。
㈡ 組策表中功能的作用
一、組策略是什麼?
GPO是一種與域、地址或組織單元相聯系的物理策略。在NT 4.0系統中,一個單一的系統策略文件(例如ntconfig.pol)包括所有的可以執行的策略功能,但它依賴於用戶計算機中的系統注冊表的設置。在Win2K中,GPO包括文件和AD對象。通過組策略,可以指定基於注冊表的設置、使用NT 4.0格式.adm模板文件的運行Win2K的本地計算機、域的安全設置和使用Windows安裝程序的網路軟體安裝,這樣在安裝軟體時就可以對文件夾進行重定向。
微軟管理控制台(MMC)中的組策略編輯器(GPE)插件與NT 4.0中的系統策略編輯器poledit.exe相當。在GPE中的每個功能節點(例如軟體設置、Windows 設置、管理模塊等)都是MMC插件擴展,在MMC插件中擴展是可選的管理工具,如果你是應用程序開發者,可以通過定製的擴展拓展GPO的功能,從而針對你的應用程序提供附加的策略控制。
只有運行Win2K的系統可以執行組策略,運行NT 4.0和Windows 9x的客戶機則無法識別到或運行具有AD架構的GPO。
二、組策略和AD
要充分發揮GPO的功能,需要有AD域架構的支持,利用AD可以定義一個集中的策略,所有的Win2K伺服器和工作站都可以採用它。然而,每台運行Win2K的計算機都有一個本地GPO(駐留在本地計算機文件系統上的GPO),通過本地GPO,可以為每台工作站指定一個策略,它在AD域中不起作用。例如,出於安全原因,你不會在AD域中配置公用的計算機。利用本地GPO,可以通過修改本地策略來得到安全性和對台式機的限制使用而無需利用基於AD域的GPO。訪問本地GPO的方法有2種,第1種方法,在需要修改GPO的計算機的「開始」菜單上選擇「運行」,然後鍵入:gpedit.msc。
這個操作的作用與NT 4.0中的poledit.exe相同,可以打開本地策略文件。第2種方法,可以通過在MMC控制台中選擇GPE插件,並選擇本地或遠程計算機來人工地編輯本地GPO。
本地GPO支持除軟體安裝和文件夾重定向之外的所有預設擴展,因此,只利用本地GPO你不能完成這些工作,如果想充分發揮GPO的功能,還是需要AD的支持。
三、GPO的多樣性和繼承
在AD中,可以在域、組織單位(OU)或地址三個不同的層次上定義GPO。OU是AD中的一個容器,可以指派它對用戶、組、計算機等對象進行管理,地址是網路上子網的集合,地址形成了AD的復制分界線。GPO的名字空間被劃分為計算機配置和用戶配置兩個大類,只有用戶和計算機可以使用GPO,象列印機對象甚至用戶組都不能應用GPO。
在一個域或組織單位(OU)中編輯策略的途徑有幾種。在活動目錄用戶或計算機MMC插件中,右擊一個域或組織單位(OU),在菜單中選擇「屬性」,然後選擇「組策略」標簽。在編輯地址中的策略時,需要右擊「活動目錄地址和服務」插件,然後右擊需要的地址得到其GPO。此外,還可以從「開始」菜單,選擇「運行」,然後鍵入: mmc.exe 啟動MMC,選擇「控制台」,「增加/刪除」插件,然後選擇「組策略」插件、「瀏覽」,在AD域內的GPO就會顯示出來,可以選擇一個GPO進行編輯。
根據GPO在AD名字空間中的不同位置,可以有幾個GPO對用戶對象或計算機對象起作用。只有域中的其他對象是通過繼承生成時GPO才是通過繼承生成的。Win2K通過下面的方式執行GPO,首先,操作系統執行現有的本地系統上的策略,然後,Win2K執行定義的地址級的GPO、域一級的GPO和基於OU的GPO,微軟把這一優先順序取其首個字母縮寫為LSDOU(執行的順序依次是本地、地址、域、OU層次的GPO),用戶可以在這個鏈上的許多層次上定義GPO。我們以pilot域為例說明如何察看一個系統中的GPO,啟動「活動目錄用戶和計算機MMC」工具,右擊pilot域名,從菜單中選擇「屬性」項,然後選擇組策略標簽。在這個列表頂端的GPO(例如域范圍的安全策略)有最高的優先權,因此,Win2K最後才會執行它。除了本地系統外,可以在每個層次上定義幾個GPO,因此如果不能嚴格地管理GPO,就會出現不必要的問題。
GPO的繼承模型與Novell公司的Zenworks策略方式截然不同。在Zenworks中,如果在Novell目錄服務(NDS)樹上的不同點使用多個策略包,只有距離用戶對象最近的策略包才起作用。在Win2K中,如果在AD的不同層次上定義四個GPO,操作系統使用「LSDOU」優先順序來執行這些策略,對計算機或用戶的作用是這四個策略執行的「和」。此外,有時在一個GPO中的設置會被其他GPO中的設置抵銷。通過AD級GPO,用戶可以擁有更多的策略控制委託,例如,公司的安全部門負責在域一級上設計用於所有系統設備的安全GPO。通過使用GPO,可以讓某個OU的系統管理員擁有在OU上安裝軟體的權利。在Zenworks模型中,必須在希望使用策略的所有層次上復制這些策略,而且策略對用戶或計算機對象的作用並非是所有策略的「和」。
為了進一步地控制GPO,微軟提供了三種設置來限制GPO繼承的復雜性。在地址、域、OU三個層次上用戶都可以通過選擇一個檢查框阻止從更高一個層次上進行繼承,同樣,在每一個層次上,用戶可以選擇預設的域策略選項,方法是打開「活動目錄用戶和計算機」插件,右擊GPO所在的域或OU,從菜單中選擇「屬性」,然後選擇「組策略」標簽。讓你希望修改的項目變亮,然後選擇「選項」按鈕,可供選擇的選項有「不覆蓋」或「禁止」。如果選擇了「不覆蓋」選項,即使選擇了不能繼承的檢查框,該GPO還是會起作用。如果想在任何一個地方執行一個GPO時,這一功能就很有用處。如果一個OU的管理員試圖阻止對安全策略的繼承,包含安全策略的GPO仍然會被系統執行。「禁止」檢查框可以完全禁止一個GPO執行,這一功能在你對一個GPO進行編輯而不想讓其他的用戶執行它時特別有效。
四、GPO的執行和過濾
只有用戶和計算機對象才能執行組策略。在計算機的啟動和關閉時,Win2K執行在GPO的計算機配置部分定義的策略,在用戶登錄和注銷時,Win2K執行在GPO中用戶配置部分定義的策略。事實上,在用戶登錄時可以通過手動方式執行一些的策略,例如可以在命令行方式下運行secedit.exe程序執行安全策略應用程序。此外,通過管理員模塊策略可以定期地對用戶和計算機的GPO設置進行刷新,預設情況下,這種刷新每90分鍾進行一次,這種刷新可以使其他用戶不容易修改通過組策略定義的策略。但是,軟體安裝策略是不會刷新的,因為沒有人希望周期性地改變策略引起軟體的「?載」,尤其是有其他用戶在使用時,就更是這樣了。計算機、用戶對象只有在計算機啟動或用戶登錄時才會軟體安裝策略。
五、GPO的內部構成
一個GPO是由兩部分組成的:組策略容器(GPC)和組策略模板(GPT)。GPC是GPO在AD中的一個實例,在一個特殊的被稱作系統的容器內有一個128位的全球唯一的ID碼(GUID)。在「活動用戶目錄用戶和計算機」插件中選擇「瀏覽」,從MMC菜單中選擇「高級屬性」,就可以看到「系統」容器。GPT是組策略在Win2K文件系統中的表現,與一個GPO有關的所有文件依賴於GPT。
六、GPO帶來的難題
雖然GPO的功能很強大,但要掌握它可不容易。最難掌握的是如何判斷一條有效的策略如何對域中的計算機或用戶起作用,由於GPO可以存在於AD鏈中不同的層次上,這種判斷就特別困難。同時,由於可以指派一個GPO的控制,因此不大容易清楚其他的GPO是否會對你沒有控制權的容器中的GPO有影響。因此,計算一個計算機或用戶對象接收的「策略的結果集」(RSoP)是相當困難的。盡管微軟還沒有提供計算RSoP的工具,但已經有第三方廠商提供了相應的計算RSoP的工具。
另一個難題是策略的執行。如果在AD鏈上的許多層次上都存在有GPO,在用戶每次登錄或系統啟動時都會執行所有的GPO。在Win2K系統中,微軟推出了一些新的功能來優化系統的性能。首先,GPO的版本信息依賴於工作站和GPO,如果GPO沒有變化,系統就不會執行它。另外,在GPE的屬性頁上,可以禁止用戶或計算機對GPO的執行。如果建立一個GPO用來分發關閉系統或啟動系統時的腳本,禁用GPO的用戶配置部分,這樣會使工作站不能解析GPO並判斷它是否已經發生了什麼變化。
最後的一個難題起源於GPC和GPT是兩個單獨的實體。GPC是AD中的一個對象,它與GPT中包含的文件的復制不同步,這意味著創建一個GPO時,在GPT開始向域控制器上的Sysvol復制文件之前GPC可能已經開始進行復制了。
所有問題的起源都是由於AD使用了一種多主體的復制模式。理論上,當另一個系統管理員在一個域控制器上編輯一個GPO時,你也可以在某個域上對它進行編輯。因此,當建立一個GPE時,預設狀態下指的是在「操作主體」中充當PDC的域控制器。(「操作主體」是AD基礎結構中的一系列託管功能,用作PDC的伺服器可以兼容運行NT和Win9x的工作站。)一般情況下,可以通過只向少數的系統管理員授予編輯GPO的權利來避免這種情況的發生,並保證如果有人在編輯GPO時,讓其他的人都知道。此外,需要注意的是,在對一個GPO進行編輯時,要「禁止」它,修改結束後重新使能。
㈢ group policy client 伺服器未能登陸 怎麼解決
1.開機後不停點擊F8按鍵,在彈出的」高級啟動選項」中使用鍵盤上的方向箭頭中的向下箭頭移動白色高亮條,選擇」安全模式」,敲擊回車鍵。
進入安全模式後,選擇之前出現問題的賬戶登陸,此時會發現可以正常登陸,進入桌面後,下載本文檔附件中的腳本文件,使用WinRAR或其它解壓軟體將文件解壓完成;
2.右鍵點擊gpc.bat,選擇「以管理員方式運行」;
3.稍等1分鍾左右,腳本運行完成後系統會自動重啟;
4.正常進入系統使用。
附件(腳本文件):迅雷快傳 | 華為網盤
不便下載的用戶也可以自行創建該腳本文件,打開你的記事本,復制一下內容:
@echo off
echo HKEY_CURRENT_USER [1 7 17] >>.\cfg.ini
regini cfg.ini
if errorlevel 1 goto error
del .\cfg.ini
echo 修復完畢,請按任意鍵重啟
goto end
:end
pause >nul
shutdown -r -t 0
:error
del .\cfg.ini
echo 沒有管理員許可權,請右鍵點擊此批處理,選擇「以管理員身份運行」
pause >nul
exit
保存時文件類型選擇「所有文件」,文件名為*.bat後綴文件,名稱隨便,然後回到上面的步驟繼續操作。
㈣ get_magic_quotes_gpc實例
在php編程中,`get_magic_quotes_gpc`函數是一個用於檢查超全局數組(`$_GET`,`$_POST`,`$_COOKIE`,`$_FILES`)的字元串是否已自動轉義。在某些情況下,您可能需要手動對字元串進行轉義,以防止SQL注入攻擊或其他安全問題。下面是一個`SQLString`函數實例,用於根據`get_magic_quotes_gpc`返回值決定是否需要對輸入字元串執行轉義。
定義`SQLString`函數:
php
function SQLString($c, $t) {
// 檢查是否開啟get_magic_quotes_gpc
$c = (!get_magic_quotes_gpc()) ? addslashes($c) : $c;
// 根據不同的數據類型執行相應的操作
switch ($t) {
case 'text':
$c = ($c != '') ? "'".$c."'": 'NULL';
break;
case 'search':
$c = "'%%".$c."%%'";
break;
case 'int':
$c = ($c != '') ? intval($c) : '0';
break;
}
// 返回處理後的字元串
return $c;
}
該函數的工作原理如下:
1. 首先,`get_magic_quotes_gpc()`函數返回一個布爾值,表示當前腳本中是否已啟用`magic_quotes_gpc`設置。如果該設置已啟用,通常意味著輸入的字元串在被添加到超全局數組之前已自動轉義。
2. 如果`get_magic_quotes_gpc()`返回`false`,則意味著字元串未被轉義。此時,`addslashes()`函數將被調用來執行轉義,以確保字元串在SQL查詢中安全使用。
3. 根據參數`$t`的值(例如`text`、`search`或`int`),函數會執行特定的字元串轉換操作。例如,對於`text`類型的數據,如果字元串非空,它將被添加到單引號中作為字元串;對於`search`類型的數據,字元串將被添加到包含百分號的雙引號中;對於`int`類型的數據,如果字元串非空,它將被轉換為整數。
4. 最後,函數返回處理後的字元串,以便在SQL查詢中安全使用。
通過使用這個`SQLString`函數,您可以確保在執行資料庫查詢時,輸入數據得到適當的處理,從而提高程序的安全性。
㈤ 文件上傳漏洞的類型有哪些
1. 前端檢測繞過:一些網站僅在前端對文件類型進行檢測。通過使用瀏覽器插件如BP(Burp Suite)抓包,並修改文件後綴名,可以繞過這種檢測。
2. 文件頭檢測繞過:某些站點依賴文件頭來識別文件類型。通過在Shell腳本前添加特定位元組,可以欺騙檢測機制。以下是幾種常見文件類型的頭位元組示例:
3. 後綴檢測繞過:部分伺服器依據文件後綴或上傳時提供的信息來判斷文件類型。可以通過修改文件名來規避這種限制,例如將文件名改為 `1.pphphp`。
4. 系統命名繞過:在Windows系統中,不符合命名規則的文件名會被系統自動截斷。可以利用這一點上傳帶有特殊字元的文件名,例如 `test.asp.`、`test.php::DATA` 等。在Linux系統中,可以嘗試使用大小寫混合的文件後綴名上傳文件。
5. 文件包含繞過:在包含文件時,如果變數包含不受信任的輸入,並且伺服器端未對其進行適當校驗,攻擊者可以控制包含的文件。例如,通過操縱 `file` 變數,可以包含惡意文件。
6. 解析漏洞繞過:包括目錄名解析漏洞(如 `*.asp` 文件夾)、文件名解析漏洞(如 `.asp;1.jpg`)、Apache解析漏洞(如 `1.php.rar`)、IIS和Nginx解析漏洞(如 `1.jpg/1.php`)、以及 `.htaccess` 文件解析漏洞。
7. 文件截斷繞過:在某些配置下,PHP 版本小於 5.3.4 且魔術引號(`magic_quotes_gpc`)關閉時,可以在文件名中使用 `00` 字元來截斷文件名,從而繞過上傳限制。
8. 競爭條件攻擊:在一些允許上傳任意文件但隨後檢查內容的網站中,由於文件上傳與檢查之間存在時間差,攻擊者可以迅速上傳並執行惡意文件,例如通過創建包含 `../shell.php` 生成功能的文件。