問題タブ [windows-security]

私の Windows 8.1 マシン (新しくインストールしたもの) では、Microsoft ルート認証局 2010証明書が無効としてリストされています (下のスクリーンショットで確認できます)。

一方、私の Windows 10 マシンでは次のように表示されます。

そのような行動の理由は何ですか？

Microsoft Message Queuing (MSMQ) のグループに権限を追加しようとしています。Windows Server の [機能] の下にある [サーバー マネージャー] で、トップ レベル > [プロパティ] > [セキュリティ] にある MessageQueueing を直接右クリックします。Windows サービスまたは Web アプリケーションに、必要に応じて新しいキューを作成する権限があることを確認したいと考えています。

適用をクリックすると、次のメッセージが表示されます。

次に、別のメッセージが続きます。

Security > Advanced > Owner に移動して、所有者を自分に変更しようとしましたが、これを行うと同じメッセージが表示されます。

サーバーに管理者としてログインしています。

(C#、Web API、SQL Server2012 とレポート サーバーを使用、認証は NTLM)

SSRS からレポートを (Excel ドキュメントとして) ダウンロードしようとすると、断続的なエラーが発生します。次のようにレポートを表示する正しい URL を作成します。

http://sqlServer/ReportServer/Pages/ReportViewer.aspx?/TheReportName&rs:Command=Render&rs:format=excel&rc:Parameters=false&Region=WEST&CutOffDate=10/25/2015

ここでの目標は、公開されている IIS 上の Web API コントローラーが、内部/ファイアウォールで保護された SSRS からファイル ストリームをダウンロードし、そのストリームをブラウザーに中継することです。これは時々機能します...そうでない場合は、最後の行に401エラーが返されます... 注釈付きの行は、機能しなかった問題を解決しようとする試みを表しています。

WebBrowser コントロールを備えた Windows フォーム デスクトップ アプリケーションがあります。サーバー上のディレクトリに移動して、webBrowser1.Navigate(new Uri("\\\\srvername\\share\\directory\\"))ユーザーがそのディレクトリからファイルを開くことができるようにします。

ファイルをダブルクリックすると、毎回 Windows セキュリティ メッセージが表示されます。

[OK] をクリックすると、必要に応じてファイルが開きます。

ローカル ディレクトリへの移動を設定するとwebBrowser1.Navigate(new Uri("C:\\Temp\\"));、メッセージが表示されません。

これが表示されないようにするプログラム的な方法はありますか、それとも信頼できるサイトとしてブラウザに追加する必要がありますか? ネットワークの標準ユーザーには、信頼済みサイトを追加するためのアクセス権がありません。IE のローカル イントラネット セクションにある [すべてのネットワーク パス UNC を含める] を確認しようとしました。

私が試してみました

しかし、コントロールに表示された Web ページからスクリプト エラーが発生することを意図しているように見えるため、これは機能しません。

ユーザー (admin グループに属するユーザーを含む) がファイルの所有権を取得できないようにする方法があるかどうか知りたいです。

私は元々、Local Systemアカウントで実行されているサービスからそのようなファイルを作成します。次に、そのファイルDACLをアカウントD:(A;OICI;GA;;;SY)のみSYSTEMがフル アクセスできるように設定my serviceし、所有者として設定します。

しかし、すべてが完了した後でも、管理者として Windows エクスプローラーを介してこのファイルの所有権を取得できます。

Windows の認証方法とプロトコルを検索した結果、単純な実行可能ファイルで使用される Negotiate、Kerberos、および NTLM の正確な違いを理解してから、IIS と Web 認証を使用することにしました。

良い結果が得られましたが、Negotiate と Kerberos についてはまだ詳細が必要です。

次のシナリオがあります。

メッセージボックスに次の値を表示する、非常に単純な C# Windows フォームアプリケーションを作成しました。

私はローカル マシンの管理者権限を持つドメイン ユーザーであることに注意してください。次の結果が得られました。

1. DCにアクティブに接続しているときにexeファイルを実行（ダブルクリック）すると、「ネゴシエート」が表示されました。

2. DCにアクティブに接続しているときにexeファイルを実行すると（differnetユーザーとして/ローカルユーザーを使用して実行）、「NTLM」が発生しました。

3. 「管理者として実行」または「別のユーザーとして実行」を使用してexeファイルを実行すると、「Kerberos」が発生しました。

4. ローカルアカウントを使用してローカルにログインしているときにexeファイルを実行すると、「NTLM」が表示されます。

LSA がローカル アカウントにNTLMを使用することを理解しています。また、Active Directory がKerberosを使用してドメイン ユーザーとコンピューターを認証することも理解しています。

私の質問は、（ダブルクリック）、または同じアカウントを使用して「別のユーザーとして実行」することにより、アカウントを使用してexeを実行すると、ネゴシエート認証タイプを取得するのはなぜですか？

更新：次のことに気付きました：

-ローカルユーザーがexeを実行している場合、それはNTLM
です -ドメインユーザーがexeを実行している場合、それはネゴシエート（そのユーザーがローカル管理者である場合）ですが、Kerberos（そのユーザーがローカル管理者でない場合）です)
-ドメイン管理者が exe を実行する場合、それはKerberosです

この動作について説明します。

Code::Blocks で C++ のプログラムを長い間コンパイルして実行してきましたが、今日、私のプログラムの 1 つが正常にコンパイルされましたが、プログラムを実行すると、時間 -0.00 で -12 が返されました。C++ で新しいプログラムを作成すると、プログラムはコンパイルされますが、実行されません。また、同じディレクトリで Code::Blocks によって作成された実行可能ファイルを開くと、Windows は、実行可能ファイルがコンピューターに変更を加えることを許可する許可を私から取得します。私は一日中試してみましたが、何が問題なのかわかりませんでした。

また、Code::Blocks をアンインストールしようとしても完全にアンインストールされず、Program Files の Code::Blocks フォルダーを開いてフォルダーを削除しようとすると、アクセスが拒否されたため、MinGW フォルダーを削除できませんでした。

問題を理解し、問題に関する知識を持っている場合は、助けてください。