วิธีรับ SID ของโดเมน Windows โดยใช้ WMIC

0

ฉันกำลังมองหาโซลูชัน WMIC เพื่อรับ SID ของโดเมน Windows ฉันสามารถค้นหาวิธีแก้ปัญหาสำหรับ PowerShell ได้ แต่ฉันชอบวิธีการของ WMIC

มีตัวอย่างจำนวนมากใน Google เพื่อรับ SID ของผู้ใช้โดเมน แต่ไม่มีใครบอกวิธีรับ SID ของคอมพิวเตอร์หรือโดเมน

windows-domain  wmic 
Shuzheng
แหล่งที่มา
รายการบัญชีผู้ใช้ wmic?
DrMoishe Pippik
เพียงชี้แจงว่าคุณไม่ได้กำลังมองหาผู้ใช้ AD SID แต่เป็นคอมพิวเตอร์ AD (วัตถุ) SID หรือ SID ของโดเมนเอง (ไม่คุ้นเคยกับสิ่งนั้น) หากเป็นเช่นนั้น wmic อาจเป็นเครื่องมือที่ไม่ถูกต้องสำหรับงานเนื่องจากการโฟกัสอยู่บนเครื่องโลคอลคุณต้องมองไปที่คำสั่ง powershell หรือ adquery นอกจากว่าคุณจะใช้สวิตช์ wmic / node กับเซิร์ฟเวอร์ AD
เกร็ก
@gregg - ใช่ฉันกำลังมองหา SID ที่เกี่ยวข้องกับคอมพิวเตอร์ AD หรือในโดเมน ข้อความค้นหาใดที่ดูเหมือนว่าใช้ adquery หรือ wmic / node
Shuzheng
โปรดแก้ไขคำถามของคุณเพื่อชี้แจง ฉันไม่แน่ใจว่า WMIC สามารถให้บริการ Local PC SID (หรือพีซีระยะไกลผ่าน wmic os / node: "HOSTNAME") ได้หรือไม่ adquery ไม่ใช่คำสั่ง แต่ฉันหมายถึง dsquery อย่างไรก็ตามมันต้องการ RSAT (เครื่องมือการดูแลระบบเซิร์ฟเวอร์ระยะไกล) ดังนั้น PowerShell น่าจะเป็นตัวเลือกที่ดีที่สุดในตัว แต่มันก็อาจถ่ายทอดใน RSAT นี่คือการเชื่อมโยงบางส่วน: ss64.com/nt/dsquery.html support.microsoft.com/en-us/help/2693643/...
เกร็ก

คำตอบ:

1

ความรู้ของฉันไม่มี "SID โดเมน" ต่อ se ฉันถือว่าสิ่งที่คุณอ้างถึงคือ Domain Identifier ซึ่งระบุโดเมนภายในฟอเรสต์ AD โดยเฉพาะ

SID แต่ละรายการในโดเมน Active Directory มี Domain Identifier ฉันไม่ทราบคำสั่ง WMIC ที่ส่งกลับเฉพาะตัวระบุนี้ อย่างไรก็ตามมันง่ายที่จะคาดการณ์ได้โดยการตรวจสอบ SID ของหลักการใด ๆ ในโดเมน

ตัวอย่างเช่นคำสั่ง WMIC ต่อไปนี้จะส่งคืน SID ของกลุ่ม Domain Admins:

C:\>wmic group where name="Domain Admins" get name,sid,domain
Domain   Name           SID
CONTOSO  Domain Admins  S-1-5-21-1004336348-1177238915-682003330-512

ตามที่อธิบายไว้ในบทความ Microsoft เอกสารวิธีการทำงานของตัวระบุความปลอดภัย SID ประกอบด้วยส่วนประกอบต่อไปนี้:

  • ระดับการแก้ไข (1)
  • อำนาจของตัวระบุ (5, NT Authority)
  • ตัวระบุโดเมน (21-1004336348-1177238915-682003330, Contoso)
  • ตัวบ่งชี้ที่เกี่ยวข้อง (512, Domain Admins)

ดังนั้นคุณเพียงแค่ต้องตัดระดับการแก้ไขสิทธิ์ของตัวระบุและ RID เพื่อให้ได้ส่วน Domain Identifier

ตัวปลอมตัว Twisty
แหล่งที่มา
คุณหมายถึงอะไร "ต่อ se" แต่ละโดเมนมี SID เช่นเดียวกับคอมพิวเตอร์มี SID ที่ออกโดยโดเมน
Shuzheng
“ Contoso” คืออะไร และคุณพูดว่า "Domain Admins" แต่เขียนว่า "Domain Users" ด้านล่าง (512 กับ 513) - ขอบคุณ!
Shuzheng
ผู้ใช้โดเมนเป็นตัวพิมพ์ผิด ... ฉันได้แก้ไขแล้ว Contosoเป็นโดเมนสมมติที่ใช้เป็นตัวอย่างในเอกสารประกอบของ Microsoft คุณสามารถลิงค์ไปยังข้อมูลที่ยืนยันว่ามีบางสิ่งเป็น SID ของโดเมนได้หรือไม่
ตัวปลอมตัว Twisty
ดูที่นี่: msdn.microsoft.com/en-us/library/cc246018.aspx : โดยเฉพาะอย่างยิ่งประโยค: "เมื่อใดก็ตามที่มีการสร้างผู้มีอำนาจออกใหม่ภายใต้ Windows (ตัวอย่างเช่นเครื่องใหม่ที่ปรับใช้หรือสร้างโดเมน) จะได้รับมอบหมาย SID "... คุณช่วยอธิบายได้ไหม?
Shuzheng
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.