จะระบุ SID ในนโยบายความปลอดภัยได้อย่างไร

หลังจากการติดตั้ง KB2871997 บน Windows Server 2008 R2 บนตัวควบคุมโดเมนคุณจะได้รับกลุ่มผู้ใช้ใหม่: 'ผู้ใช้ที่ จำกัด ' และตามที่บทความนี้กล่าวถึงคุณจะได้รับ SID ที่รู้จักกันดีใหม่สองรายการ:

1. LOCAL_ACCOUNT - บัญชีท้องถิ่นใด ๆ จะรับช่วง SID นี้
2. LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP - บัญชีท้องถิ่นใด ๆ ที่เป็นสมาชิกของกลุ่มผู้ดูแลระบบจะรับช่วง SID นี้

นี้หน้า MSDNแสดงรายการออก SIDs ทั้งหมดที่รู้จักกันดีและหน้าเดียวกันแสดงรายการทั้งสอง SIDs ใหม่ ( S-1-5-113และS-1-5-114 ) ในส่วนหัวของ Windows มีการรวม RID สำหรับสิ่งเหล่านี้:

#define SECURITY_LOCAL_ACCOUNT_RID (0x00000071L) // 113
#define SECURITY_LOCAL_ACCOUNT_AND_ADMIN_RID (0x00000072L) / 114

ฉันได้ค้นพบความสำคัญของกลุ่มผู้ใช้ที่ถูก จำกัด แต่ไม่สามารถเข้าใจได้ว่า SID เหล่านี้สามารถวางไว้ใต้ความปลอดภัยของวัตถุใด ๆ ได้อย่างไร - เริ่มต้นด้วยไฟล์ / โฟลเดอร์ในไดรฟ์ NTFS วิธีให้ SID เหล่านี้ (หรือมี)

ฉันกำลังทำวิจัยนี้เพื่อดูผลกระทบของการอัปเดตนี้ต่อแอปพลิเคชันหรือบริการใด ๆ เนื่องจากมีข้อ จำกัด ที่อาจเกิดขึ้นที่ด้านบนของสิ่งเหล่านี้

ขอขอบคุณที่grawityicaclsสำหรับการให้ตัวอย่างการใช้ หลังจากเล่นซอกับ UI ความปลอดภัยและicaclsตัวเองฉันได้พบว่ามี SID จำนวนมากซึ่งไม่สามารถระบุได้โดยตรงกับชื่อที่เรียกง่ายแต่จะปรากฏในผลลัพธ์ นั่นหมายถึงในกล่องโต้ตอบความปลอดภัยเช่นเดียวกับเมื่อicaclsมีการเรียก ลองใช้ (บนระบบปฏิบัติการล่าสุด):

icacls FolderName /grant:*S-1-18-2:(oi)(ci)(f)

ตามด้วยคำสั่งดังต่อไปนี้:

icacls Folder name

คุณจะเห็น ' บริการยืนยันตัวตน ' ในเอาต์พุตคำสั่งและในกล่องโต้ตอบความปลอดภัย สำหรับ SID ใหม่คุณจะไม่เห็นมันเมื่อคุณระบุ/saveพร้อมกับคำสั่งด้านบน อย่างไรก็ตามคุณจะเห็นมันในกล่องโต้ตอบความปลอดภัย ในระยะสั้นมีความขัดแย้งเล็กน้อย

ดังนั้นตอนนี้คำถามของฉันคือ: วิธีการระบุ SID ในนโยบายความปลอดภัยได้อย่างไร

สำหรับไฟล์คุณสามารถใช้icaclsเครื่องมือเพื่อเพิ่มรายการเข้าถึงโดย SID:

icacls C:\Temp /grant *S-1-5-113:(oi)(ci)(f)

แม้ว่าการใช้ชื่อเต็มNT AUTHORITY\Local accountควรทำงานได้เช่นกัน