วิธีรับ SID ของโดเมน Windows โดยใช้ WMIC


0

ฉันกำลังมองหาโซลูชัน WMIC เพื่อรับ SID ของโดเมน Windows ฉันสามารถค้นหาวิธีแก้ปัญหาสำหรับ PowerShell ได้ แต่ฉันชอบวิธีการของ WMIC

มีตัวอย่างจำนวนมากใน Google เพื่อรับ SID ของผู้ใช้โดเมน แต่ไม่มีใครบอกวิธีรับ SID ของคอมพิวเตอร์หรือโดเมน


รายการบัญชีผู้ใช้ wmic?
DrMoishe Pippik

เพียงชี้แจงว่าคุณไม่ได้กำลังมองหาผู้ใช้ AD SID แต่เป็นคอมพิวเตอร์ AD (วัตถุ) SID หรือ SID ของโดเมนเอง (ไม่คุ้นเคยกับสิ่งนั้น) หากเป็นเช่นนั้น wmic อาจเป็นเครื่องมือที่ไม่ถูกต้องสำหรับงานเนื่องจากการโฟกัสอยู่บนเครื่องโลคอลคุณต้องมองไปที่คำสั่ง powershell หรือ adquery นอกจากว่าคุณจะใช้สวิตช์ wmic / node กับเซิร์ฟเวอร์ AD
เกร็ก

@gregg - ใช่ฉันกำลังมองหา SID ที่เกี่ยวข้องกับคอมพิวเตอร์ AD หรือในโดเมน ข้อความค้นหาใดที่ดูเหมือนว่าใช้ adquery หรือ wmic / node
Shuzheng

โปรดแก้ไขคำถามของคุณเพื่อชี้แจง ฉันไม่แน่ใจว่า WMIC สามารถให้บริการ Local PC SID (หรือพีซีระยะไกลผ่าน wmic os / node: "HOSTNAME") ได้หรือไม่ adquery ไม่ใช่คำสั่ง แต่ฉันหมายถึง dsquery อย่างไรก็ตามมันต้องการ RSAT (เครื่องมือการดูแลระบบเซิร์ฟเวอร์ระยะไกล) ดังนั้น PowerShell น่าจะเป็นตัวเลือกที่ดีที่สุดในตัว แต่มันก็อาจถ่ายทอดใน RSAT นี่คือการเชื่อมโยงบางส่วน: ss64.com/nt/dsquery.html support.microsoft.com/en-us/help/2693643/...
เกร็ก

คำตอบ:


1

ความรู้ของฉันไม่มี "SID โดเมน" ต่อ se ฉันถือว่าสิ่งที่คุณอ้างถึงคือ Domain Identifier ซึ่งระบุโดเมนภายในฟอเรสต์ AD โดยเฉพาะ

SID แต่ละรายการในโดเมน Active Directory มี Domain Identifier ฉันไม่ทราบคำสั่ง WMIC ที่ส่งกลับเฉพาะตัวระบุนี้ อย่างไรก็ตามมันง่ายที่จะคาดการณ์ได้โดยการตรวจสอบ SID ของหลักการใด ๆ ในโดเมน

ตัวอย่างเช่นคำสั่ง WMIC ต่อไปนี้จะส่งคืน SID ของกลุ่ม Domain Admins:

C:\>wmic group where name="Domain Admins" get name,sid,domain
Domain   Name           SID
CONTOSO  Domain Admins  S-1-5-21-1004336348-1177238915-682003330-512

ตามที่อธิบายไว้ในบทความ Microsoft เอกสารวิธีการทำงานของตัวระบุความปลอดภัย SID ประกอบด้วยส่วนประกอบต่อไปนี้:

  • ระดับการแก้ไข (1)
  • อำนาจของตัวระบุ (5, NT Authority)
  • ตัวระบุโดเมน (21-1004336348-1177238915-682003330, Contoso)
  • ตัวบ่งชี้ที่เกี่ยวข้อง (512, Domain Admins)

ดังนั้นคุณเพียงแค่ต้องตัดระดับการแก้ไขสิทธิ์ของตัวระบุและ RID เพื่อให้ได้ส่วน Domain Identifier


คุณหมายถึงอะไร "ต่อ se" แต่ละโดเมนมี SID เช่นเดียวกับคอมพิวเตอร์มี SID ที่ออกโดยโดเมน
Shuzheng

“ Contoso” คืออะไร และคุณพูดว่า "Domain Admins" แต่เขียนว่า "Domain Users" ด้านล่าง (512 กับ 513) - ขอบคุณ!
Shuzheng

ผู้ใช้โดเมนเป็นตัวพิมพ์ผิด ... ฉันได้แก้ไขแล้ว Contosoเป็นโดเมนสมมติที่ใช้เป็นตัวอย่างในเอกสารประกอบของ Microsoft คุณสามารถลิงค์ไปยังข้อมูลที่ยืนยันว่ามีบางสิ่งเป็น SID ของโดเมนได้หรือไม่
ตัวปลอมตัว Twisty

ดูที่นี่: msdn.microsoft.com/en-us/library/cc246018.aspx : โดยเฉพาะอย่างยิ่งประโยค: "เมื่อใดก็ตามที่มีการสร้างผู้มีอำนาจออกใหม่ภายใต้ Windows (ตัวอย่างเช่นเครื่องใหม่ที่ปรับใช้หรือสร้างโดเมน) จะได้รับมอบหมาย SID "... คุณช่วยอธิบายได้ไหม?
Shuzheng
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.