執行順序:

1. Controller 的 AuthorizeAttribute 的 OnAuthorization event
2. Action 的 AuthorizeAttribute 的 OnAuthorization event
--> 在 Action 的 Attribute 所設定的授權可以蓋過 Controller 所設定的授權。

最後在 global 所設定的 ActionFilterAttribute 的 OnActionExecuting event 做授權檢查。以防漏設權限。

這次因為小三美日要架設新機房設備，所以採用政府GPO的群組原則來提升安全性，關於設定的方式可由以下的附檔內說明使用，

在安裝GPO後，會遇到的問題及解決方式如下

1. 在安裝後發現原先預設使用的administrator帳號被停用，導致無法登入。
    解決：在安裝GPO前，先換一個新的管理權限帳號即可

2. 想要安裝IIS或是hyper-v(新增角色)時，發現安裝權限已被停用。
    解決：先搜尋到gpedit.msc，檢查電腦設定 \ 系統管理範本 \ Windows元件 \ Windowsl遠端殼層 \ 允許遠端殼層存取，是否為  已啟用

3.使用hyper-v安裝windows，再安裝GPO後，發現無法從hyper-v的console登入。
   解決：搜尋gpedit.msc，檢查電腦設定 \ windows設定 \ 安全性設定 \ 使用者權限指派 \ 拒絕透過遠端桌面服務登入，移除本機帳戶

4.使用hyper-v配合GPO會無法將本機的資源(檔案)丟到虛擬主機。
  解決：檢查電腦設定 \ 系統管理範本 \ windows 元件 \ 遠端桌面服務 \ 遠端桌面工作階段主機 \ 裝置及資源重新導向，將不允許磁碟機重新導向，設定為已停用
另外，搜尋gpedit.msc，檢查電腦設定 \ windows設定 \ 安全性設定 \ 使用者權限指派 \ 拒絕從網路存取這台電腦，移除管理權限帳戶

以上設定完後，最好在自己系統的cmd中，輸入gpupdate /force，直接更新原則

 

先寫幾個, 有空再整理.

1. Upload Folder 的執行權限要關閉
2. 在HTTP Header加入X-Frame-Options: DENY或SAMEORIGIN。
3. web.config 的 connection string 和 app setting 要加密

如下, 要記得修改 database_name, userOLD, userNEW 三個參數

CREATE TABLE #Command

    (

    Id int NOT NULL IDENTITY (1, 1),

    command nvarchar(MAX) NOT NULL

    )  ON [PRIMARY]

     TEXTIMAGE_ON [PRIMARY]

GO



USE database_name  -- Use the database from which you want to extract the permissions

GO



SET NOCOUNT ON



DECLARE @OldUser sysname, @NewUser sysname



SET @OldUser = 'userOLD' --The user or role from which to copy the permissions from

SET @NewUser = 'userNEW' --The user or role to which to copy the permissions to



insert into #Command(command)

Select convert(nvarchar(max), '--Database Context')



insert into #Command(command)

SELECT 'USE' + SPACE(1) + QUOTENAME(DB_NAME())



insert into #Command(command)

SELECT '--Cloning permissions from' + SPACE(1) + QUOTENAME(@OldUser) + SPACE(1) + 'to' + SPACE(1) + QUOTENAME(@NewUser)



insert into #Command(command)

SELECT 'EXEC sp_addrolemember @rolename ='

    + SPACE(1) + QUOTENAME(USER_NAME(rm.role_principal_id), '''') + ', @membername =' + SPACE(1) + QUOTENAME(@NewUser, '''') AS '--Role Memberships'

FROM    sys.database_role_members AS rm

WHERE USER_NAME(rm.member_principal_id) = @OldUser

ORDER BY rm.role_principal_id ASC



insert into #Command(command)

SELECT CASE WHEN perm.state <> 'W' THEN perm.state_desc ELSE 'GRANT' END

    + SPACE(1) + perm.permission_name + SPACE(1) + 'ON ' + QUOTENAME(USER_NAME(obj.schema_id)) + '.' + QUOTENAME(obj.name)

    + CASE WHEN cl.column_id IS NULL THEN SPACE(0) ELSE '(' + QUOTENAME(cl.name) + ')' END

    + SPACE(1) + 'TO' + SPACE(1) + QUOTENAME(@NewUser) COLLATE database_default

    + CASE WHEN perm.state <> 'W' THEN SPACE(0) ELSE SPACE(1) + 'WITH GRANT OPTION' END AS '--Object Level Permissions'

FROM    sys.database_permissions AS perm

    INNER JOIN

    sys.objects AS obj

    ON perm.major_id = obj.[object_id]

    INNER JOIN

    sys.database_principals AS usr

    ON perm.grantee_principal_id = usr.principal_id

    LEFT JOIN

    sys.columns AS cl

    ON cl.column_id = perm.minor_id AND cl.[object_id] = perm.major_id

WHERE usr.name = @OldUser

ORDER BY perm.permission_name ASC, perm.state_desc ASC



insert into #Command(command)

SELECT CASE WHEN perm.state <> 'W' THEN perm.state_desc ELSE 'GRANT' END

    + SPACE(1) + perm.permission_name + SPACE(1)

    + SPACE(1) + 'TO' + SPACE(1) + QUOTENAME(@NewUser) COLLATE database_default

    + CASE WHEN perm.state <> 'W' THEN SPACE(0) ELSE SPACE(1) + 'WITH GRANT OPTION' END AS '--Database Level Permissions'

FROM    sys.database_permissions AS perm

    INNER JOIN

    sys.database_principals AS usr

    ON perm.grantee_principal_id = usr.principal_id

WHERE usr.name = @OldUser

AND perm.major_id = 0

ORDER BY perm.permission_name ASC, perm.state_desc ASC



Select command from #Command order by Id

drop table #Command

使用 SQL Server 管理介面設定欄位權限時要很小心陷井. 如下圖,
1. Col2 和 Id 欄位沒有被授予也沒有被拒絕.
2. 若是設定 Col2 欄位為授予, Id 欄位沒有做任何的修改.
3. 存檔後, Id 欄位會被拒絶存取.

 
以上的情況是用以下 SQL 生成:

GRANT SELECT ON OBJECT::S3..test TO webuser;
Deny SELECT ON OBJECT::S3..test(Col1) TO webuser;
 

SQL備份出現錯誤訊息：
Cannot open backup device 'D:\xxxxxxx.bak'
Operationg system error 5(存取被拒。)


排除方法：

1. 不要使用 Network Services 來啟動，改使用別的帳號啟動，這樣以後備份匯出就沒有問題。
    
    
2. 修改要匯出資料夾的權限，讓 Network Services 有寫入的權限，這樣就可以正常備份了。
    
    

參考：http://rojerchen.blogspot.tw/2013/07/mssql5.html

想要讓特定 user 可以備份某個 DB ，但又不想把該 user 加入 sysadmin 時，可以用的。

use DBName
GRANT BACKUP DATABASE TO uasername

接下來該使用者的帳戶就可以執行
​
BACKUP DATABASE XXX TO DISK = 'D:\SQLBackup\XXXXX.bak'

公司有些人需要到特定主機做測試之類的，這時需要改windows系統的hosts檔案，由於hosts是系統檔，必須要有編輯權限才能編輯，所以這次教大家如何更改檔案權限。

首先先到要修改的檔案位置，在檔案下按右鍵選"內容"如下圖


接著按下"安全性"如圖


在群組或使用者名稱下選擇users會發現system權限只有讀取跟執行，如圖


這時，按一下右下的按鈕"編輯"進入編輯模式後，再選擇users，如圖


在users的權限下，點選"完全控制"後，再點"套用"或"確定"，
即可將此檔案內容做修改，如圖


PS. 通常在幫domain使用者修改系統動作時，會需要管理者密碼，所以會有以下兩種情況發生：
1. 當修改檔案為"完全控制"時，若跳出輸入管理者帳號密碼視窗，此時輸入後即可完成權限修改，再對此檔案做修改。
2. 當修改檔案為"完全控制"時，若跳出無法修改的視窗，這時需要先登入電腦到管理者帳號，再到此檔案(如hosts)，
   按照剛剛上述的步驟操作修改權限，完成之後。再登入原先使用者帳號，再對此檔案做修改。






 

以前只是用 facebook 的server端 API 來處理登入
這次因為活動關係而純粹使用 JS SDK 來處理 user 的發文
這裡把一些用到 function 作整理
比較特別的是 FB.login 使用時機，因為他會 window.open 新視窗
若是 ajax 資料後再呼叫，通常會被瀏覽器檔下來
使用時機最好是user點了button後就直接執行

//先檢查是不是已經登入

FB.getLoginStatus(function (response) {

    if (response.status === "connected") {

    // 已登入FB

    }

else {

        // 未登入FB

        // 盡量不要在此呼叫 FB.login , 因為彈跳視窗會被擋下來

}

});



//呼叫登入 scope:publish_stream 是要讓user同意發文到FB的權限

FB.login(function (response) {

    if (response.authResponse) {

        // 已登入，可取得 AccessToken

    } else {

        // 未登入

    }

}, { scope: 'publish_stream' });



// 檢查 user 有無同意發文到FB的權限 (publish_stream)

FB.api({ method: 'users.hasAppPermission', ext_perm: 'publish_stream' }, function (resp) {

    if (resp === "1") {

        //有同意

    } else {

        //不同意

    }

});



// 分享連結到登入者的FB牆

// msg 是發文的內容

// link, picture, caption, description 是一組的

var args = {

    message: msg,

    link: product.Link,

    picture: product.Picture,

    caption: product.Name,

    description: "超高口碑BB霜/CC霜、頂級精華液哪款半價 由你決定!"

};

FB.api('/me/feed', 'post', args, function (response) {

    if (response.id) {

        // 成功會回傳訊息id

    }

    else {

        // 分享失敗

    }

});

再補充一下，若只是單純分享網頁，可以使用 FB.ui，就不用管有無登入以及權限問題

    FB.ui({

        method: 'feed',

        name: '快去搶！超過9成的使用者滿意推薦的《玻尿酸精華》',

        link: 'http://www.shopunt.com/tch/event/2014-aqua-deluge/default.aspx',

        picture: 'http://www.shopunt.com/Upload/tch/unt/14mar/fb154x154.jpg',

        caption: 'UNT 頂級玻尿酸保濕精華液(奢華)',

        description: '熱銷破百萬 真實口碑見證的水感奇肌 逆時補水科技 快速滲透 為肌膚注入高水位……'

    },

        function (response) {

            if (response && response.post_id) {

                // handle  success

            }

            else {

                alert("facebook分享失敗!");

            }

        }

    );

今天在 Visual Studio 2012 發生無法對應路徑 '/' 的錯誤，且 auto complete 失效, int32 都不認得。結果解決方式竟然是要用管理員的權限來執行 VS2012 然後再開啟 sln 檔，真是令人傻眼。

darren 補充:
請到此目錄 C:\Program Files (x86)\Microsoft Visual Studio 11.0\Common7\IDE
設定 devenv.exe 為管理者權限開啟



很神奇，在 Windows 8.1 的 devenv.exe 沒有相容性的 tag, 改了一些顯示相容性的 registry 也都沒有用，後來找到一個解法: http://superuser.com/questions/465065/no-compatibility-tab-for-devenv-exe-vs-2010-and-vs-2012-on-windows-8
主要內容如下:
Rightklick devenv.exe and choose Troubleshoot compatibility. In the new window click atTroubleshoot programm, then check The programm requires additional permission.

補上:
這個執行檔也要設定
C:\Program Files (x86)\Common Files\microsoft shared\MSEnv\VSLauncher.exe