ให้คู่ของผู้ใช้และสิทธิ์ฉันต้องตรวจสอบว่าผู้ใช้มีสิทธิ์บนเซิร์ฟเวอร์ ต่อไปนี้เป็นจริงในการตั้งค่าของฉัน:
- เซิร์ฟเวอร์เป็นส่วนหนึ่งของโดเมน แต่ไม่ใช่ตัวควบคุมโดเมน
- มีหลายโดเมนที่มีความสัมพันธ์ที่เชื่อถือได้ในโครงสร้างพื้นฐาน
- บางครั้งผู้ใช้ (โลคอลโดเมนหรือจากโดเมนอื่น) สามารถอยู่ในกลุ่มท้องถิ่นโดยได้รับประโยชน์จากพวกเขาอยู่ในกลุ่มอื่น ๆ (โดเมนหรือท้องถิ่น) ที่อยู่ในกลุ่มท้องถิ่นเมื่อเทียบกับที่เป็นของกลุ่มโดยตรง
ตัวอย่างสถานการณ์สำหรับจุดสุดท้าย:
- User1 เป็นของกลุ่ม TeamA ใน DomainA
- DomaimA \ TeamA เป็นสมาชิกของ DomainB \ SpecialAccess
- DomainB \ SpecialAccess เป็นสมาชิกของ DomainB \ DomainAdmins
- ในที่สุด DomainB \ DomainAdmins อยู่ในกลุ่มผู้ดูแลระบบท้องถิ่น
- กลุ่มผู้ดูแลระบบในท้องถิ่นมี SeRemoteInteractiveLogonRight privelege
ตอนนี้ถ้าฉันมีการป้อนข้อมูล DomainA \ User1 และ SeRemoteInteractiveLogonRight ฉันต้องมาถึงใช่หรือไม่ตอบ ดังนั้นฉันจึงเปิดนโยบายท้องถิ่นบนเครื่องสังเกตว่ากลุ่มใดที่อยู่ในรายการด้านขวาที่ฉันสนใจจากนั้นไปที่ผู้จัดการเซิร์ฟเวอร์และดูสิ่งที่สมาชิกกลุ่มและจากนั้นฉันต้องดูว่าสมาชิกของกลุ่มใดในกลุ่มเหล่านี้ และอื่น ๆ
ฉันมีความรู้สึกว่ามันง่ายขึ้น ฉันตื่นเต้นมากเมื่อพบว่าAccessChkใช้งานได้นานทั้งสามนาทีซึ่งทำให้ฉันค้นพบว่ามีเพียงรายการความสัมพันธ์โดยตรงดังนั้นผู้ใช้ภายในกลุ่มจะไม่ถูกแสดงรายการ
ตอนนี้ฉันเดาว่ามันจะเป็นไปได้ที่จะรวมผลลัพธ์จาก AccessChk บางอย่างเพื่อให้ฉันสามารถตรวจสอบว่าผู้ใช้อยู่ในกลุ่มใด ๆ ที่ AccessChk ส่งคืนหรือไม่ แต่ระบุว่าไม่ใช่โดเมนเดียว แต่พวกเขาหลายคน ไม่แน่ใจว่าจะเข้าใกล้เรื่องนี้อย่างไร นอกจากนี้เอาต์พุต AccessChk ดูเหมือนจะไม่แยกความแตกต่างระหว่างกลุ่มและผู้ใช้
แก้ไข : ในจิตวิญญาณของการไม่ตกหลุมพรางปัญหา XY สิ่งที่ฉันต้องทำจริงๆคือเพื่อให้แน่ใจว่าในกลุ่มเซิร์ฟเวอร์ไม่มีบัญชีผู้ใช้เฉพาะที่ใช้เป็นข้อมูลประจำตัวพูลโปรแกรมประยุกต์ IIS มีสิทธิ์ SeInteractiveLogonRight หรือ SeRemoteInteractiveLogonRight ฉันไม่มีปัญหากับส่วน IIS แต่ขั้นตอนสุดท้ายของการตรวจสอบบัญชีกับสิทธิ์เป็นสิ่งที่ฉันพยายามค้นหาวิธีที่ตรงไปตรงมาในการตรวจสอบ ฉันต้องการตรวจสอบอัตโนมัติเพราะนี่เป็นสิ่งที่จะต้องทำอย่างสม่ำเสมอ