Bir çift kullanıcı ve ayrıcalık verildiğinde, kullanıcının sunucuda ayrıcalığa sahip olup olmadığını belirlemem gerekir. Kurulumumda aşağıdakiler geçerlidir:
- Sunucu bir etki alanının parçasıdır, ancak bir etki alanı denetleyicisi değildir
- Altyapıda güven ilişkisi olan birkaç alan vardır
- Bazen kullanıcılar (yerel, etki alanı veya farklı bir etki alanından), doğrudan gruba ait olmak yerine, yerel bir gruba ait başka bir grupta (etki alanı veya yerel) olmaları nedeniyle yerel bir gruba ait olabilirler.
Son nokta için örnek senaryo:
- Kullanıcı1, EtkiAlanıA'daki TeamA grubuna aittir.
- DomaimA \ TeamA bir DomainB \ SpecialAccess üyesidir
- DomainB \ SpecialAccess, DomainB \ DomainAdmins üyesidir
- Son olarak DomainB \ DomainAdmins yerel Yönetici grubuna aittir
- Yerel Yönetici grubunun SeRemoteInteractiveLogonRight yetkisi var
Şimdi DomainA \ User1 ve SeRemoteInteractiveLogonRight girişinde varsa Evet veya Hayır cevabına ulaşmam gerekiyor. Bu yüzden makinede Yerel Politika'yı açıyorum, ilgilendiğim haklara karşı hangi grupların listelendiğini de not ediyorum, sonra sunucu yöneticilerine gidip grup üyelerine ne olduğunu görüyorum ve sonra bu gruplardaki herhangi bir grubun üyelerini görmem gerekiyor ve bunun gibi.
Daha kolay olabileceğine dair bir his var. AccessChk yardımcı programını bulduğumda gerçekten heyecanlandım Sadece üç dakika sürdüğünü keşfetmemi sağladı, sadece doğrudan ilişkiyi listelediğini keşfettim, böylece bir grup içindeki kullanıcı listelenmeyecek.
Şimdi AccessChk bazı sonuçları nasıl birleştirmek mümkün olacağını tahmin ediyorum böylece bir kullanıcı AccessChk döndüren grupların herhangi birine ait olup olmadığını kontrol edebilirsiniz, ancak tek bir etki alanı değil birkaç buna nasıl yaklaşacağından emin değilim. Ayrıca AccessChk çıktısı bir grup ve bir kullanıcı arasında ayrım yapmıyor gibi görünüyor.
DÜZENLEME : XY sorun tuzağına düşmemek ruhu içinde, gerçekten yapmam gereken, bir grup sunucuda IIS uygulama havuzu kimlikleri olarak kullanılan belirli bir kullanıcı hesabının SeInteractiveLogonRight veya SeRemoteInteractiveLogonRight ayrıcalıklarına sahip olmasını sağlamaktır. IIS bölümü ile ilgili herhangi bir sorunum yok, ancak bir hesabı ayrıcalıklara karşı kontrol etmenin son adımı, kontrol etmek için basit bir yol bulmakta zorlandığım bir şey. Ayrıca kontrolü otomatikleştirmek istiyorum çünkü bu düzenli olarak yapılması gereken bir şey.