Güvenlik Politikasında SID nasıl belirtilir?

1

KB2871997'nin yüklenmesinden sonra, Windows Server 2008 R2'de bir etki alanı denetleyicisinde, yeni bir kullanıcı grubu alırsınız: 'Kısıtlı Kullanıcılar' ve bu makalede belirtildiği gibi iki iyi tanınmış SID alırsınız:

  1. LOCAL_ACCOUNT - Herhangi bir yerel hesap bu SID'yi devralacak
  2. LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP - Administrators grubunun üyesi olan herhangi bir yerel hesap bu SID'yi devralacak

Bu MSDN sayfası iyi bilinen tüm SID'leri listeler ve aynı sayfa bu iki yeni SID'yi ( S-1-5-113 ve S-1-5-114 ) listeler . Windows başlığında, bunlar için RID'ler bulunur:

#define SECURITY_LOCAL_ACCOUNT_RID (0x00000071L) // 113
#define SECURITY_LOCAL_ACCOUNT_AND_ADMIN_RID (0x00000072L) / 114

Kısıtlı Kullanıcılar grubunun önemini keşfettim, ancak bu SID'lerin herhangi bir nesnenin Güvenliği altında nasıl yerleştirilebileceğini anlayamadım - NTFS sürücüsündeki dosya / klasörden başlayarak, bu (veya herhangi bir) SID'leri nasıl vereceğim?

Bu araştırmayı, bu güncelleştirmelerin üstüne konabilecek olası kısıtlamalar nedeniyle herhangi bir uygulama veya hizmet üzerindeki etkisini görmek için yapıyorum.

Örnek kullanarak sağlamak için grawity için teşekkürler icacls. Güvenlik kullanıcı arabirimiyle ve icaclskendisiyle uğraştıktan sonra , doğrudan kolay adla belirtilemeyen, ancak sonuçlarda görünecek birçok SID olduğunu öğrendim . Bu, Güvenlik iletişim kutusundaki ve ne zaman icaclsçağrıldığı anlamına gelir . Bunu deneyin (yakın tarihli işletim sistemlerinde):

icacls FolderName /grant:*S-1-18-2:(oi)(ci)(f)

Ardından aşağıdaki komutu takip edin:

icacls Folder name

Komut çıktısında ve Güvenlik iletişim kutusunda ' Hizmet onaylı kimlik ' göreceksiniz . Yeni SID'ler /saveiçin yukarıdaki 'komutuyla birlikte belirttiğinizde bunu göremezsiniz . Ancak Güvenlik iletişim kutusunda göreceksiniz. Kısacası, çok az tutarsızlık var.

Öyleyse, şimdi sorum şu: Güvenlik Politikasında SID nasıl belirtilir?

windows  security  permissions  ntfs  windows-server-2012-r2 
Ajay
kaynak

Yanıtlar:

2

Dosyalar için, icaclsSID ile erişim girişleri eklemek üzere aracı kullanabilirsiniz :

icacls C:\Temp /grant *S-1-5-113:(oi)(ci)(f)

Rağmen, tam adını kullanarak da NT AUTHORITY\Local accountçalışması gerekir.

grawity
kaynak
Örnek için teşekkürler. Klasör için çalışır, ancak dosyalar için değil. Ayrıca S-1-5-113 SID için çalıştı ve Explorer 'Yerel hesap' gösteriyor. Neden metin kullanarak giriş yapmasına izin vermiyor? Evet, tam adını önerdiğiniz gibi kullandım ama hayır.
Ajay
@Herkes - Yukarıda verdikten sonra 'komutunu verin. Ardından aşağıdaki komutları deneyin: 'icacls C: \ Temp' ve 'icacls c: \ Temp / save acl.txt'. Eskiden 'Yerel hesap' görüntülendiğini ancak ikincisinde 'S-1-5-113' yazdığını göreceksiniz. Kesinlikle işletim sisteminde bir hata.
Ajay,
1
@Ajay: /saveSID'yi depolarsa , bana bir özellik gibi geliyor . İsimler sadece kolaylık sağlamak içindir; ACL aslında onları saklamıyor.
Grawity
evet, anlamadığı hesaplar için SID'yi saklar. 2012R2 veya 8.1'de kendiniz deneyin! BTW, hala "Nesne Seçici güvenlik iletişim kutusunda SID nasıl belirtilir" ile ilgileniyorum.
Ajay,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.