Назад | Перейти на главную страницу

Почему моя глобальная группа безопасности отфильтровывается из моего токена входа?

Изучая влияние отфильтрованных токенов на права доступа к файлам, я заметил, что одна из моих глобальных групп безопасности фильтруется в дополнение к обычным системным фильтруемым группам.

Моя среда Active Directory - это однодоменный лес на функциональном уровне Windows Server 2003. Я назову домен "mydomain.example.com". Я вошел в систему на компьютере с Windows Server 2008 Enterprise Edition (не на контроллере домена) как член группы «MYDOMAIN \ Domain Admins» и глобальной группы безопасности «MYDOMAIN \ MySecurityGroup» (среди прочих). Когда я запускаю whoami / groups из командной строки с повышенными привилегиями, я вижу полный список групп, к которым, как и ожидалось, принадлежит моя учетная запись. Когда я запускаю whoami / groups из обычной командной строки без повышенных прав, я вижу тот же список групп, но следующие группы описаны как «Группа, используемая только для запрета».

  1. BUILTIN \ Администраторы
  2. MYDOMAIN \ Администраторы схемы
  3. MYDOMAIN \ Предложение помощников по удаленной помощи
  4. MYDOMAIN \ MySecurityGroup

Цифры с 1 по 3 выше предполагаются на основе документации Microsoft; номер 4 нет. Глобальная группа безопасности «MYDOMAIN \ MySecurityGroup» - это группа, которую я создал. Он содержит три невстроенные глобальные группы безопасности, и эти группы безопасности содержат только невстроенные учетные записи пользователей. (То есть я создал все учетные записи и группы, которые являются членами глобальной группы безопасности «MYDOMAIN \ MySecurityGroup».) Существуют и другие похожие группы, членом которых является моя учетная запись, которые не фильтруются из моего токена входа в систему. , и этой группе не предоставлены какие-либо определенные права пользователя в параметрах безопасности этого компьютера или в групповой политике.

Что заставило бы эту одну группу быть отфильтрованной из моего токена входа?

Это странно, но у меня есть два пути:

  1. Возьмите копию Sysinternals Process Explorer и посмотрите на вкладку безопасности для процесса без повышенных прав, ваша группа все еще фильтруется? Я спрашиваю потому что очевидно Whoami.exe как известно, содержит ошибки, начиная с Vista и по крайней мере до Windows 8 Release Preview (см. Случай необъяснимого: whoami.exe и флаг Deny).

  2. Какой у вашей группы SID (или хотя бы RID)? Здесь любой шанс это одна из встроенных групп? Или он каким-то образом получил достаточно низкий RID, чтобы LSASS решил, что это встроенная группа? Не знаю, возможно ли это вообще, но кто знает ... Смотрите Изменения токена доступа раздел в Новые технологии UAC для Windows Vista и Хорошо известные идентификаторы безопасности в операционных системах Windows для получения дополнительной информации.

  3. И просто из любопытства, можете ли вы настроить файл или папку, чтобы разрешить доступ только вашей группе, и посмотреть, действительно ли она фильтруется? Это потенциально может быть связано с вариантом 1 выше.

Может быть, я что-то упускаю, но как только вы попадаете в группу безопасности AD напрямую или через вложение, при входе в систему или в любое другое время не выполняется «фильтрация» для удаления вас из этой группы или ее последствий. Однажды в группе, всегда в группе, пока не будет удален.

Может быть, ваше внимание сосредоточено на словах команды whoami в повышенном или не повышенном уровне, и это фактически не влияет ни на что, связанное с вашим членством в группе?

Каковы ваши результаты для другого инструмента устранения неполадок членства в группах, такого как gpresult / r.

Бьюсь об заклад, ты все еще в группе, и все в порядке.

Посмотри на http://support.microsoft.com/kb/947223/en-us

HTH, Томас