1

После установки KB2871997 в Windows Server 2008 R2 на контроллере домена вы получаете новую группу пользователей: «Ограниченные пользователи», и, как упоминается в этой статье, вы получаете два новых известных идентификатора безопасности:

  1. LOCAL_ACCOUNT - любой локальный аккаунт унаследует этот SID
  2. LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP - любая локальная учетная запись, являющаяся членом группы администраторов, унаследует этот SID

На этой странице MSDN перечислены все хорошо известные SID, а на этой же странице перечислены эти два новых SID (S-1-5-113 и S-1-5-114). В заголовок Windows RID для них включены:

#define SECURITY_LOCAL_ACCOUNT_RID (0x00000071L) // 113
#define SECURITY_LOCAL_ACCOUNT_AND_ADMIN_RID (0x00000072L) / 114

Я обнаружил важность группы «Restricted Users», но не мог понять, как эти SID могут быть помещены в Security любого объекта - начиная с файла / папки на диске NTFS, как назначить эти (или любые) SID?

Я делаю это исследование, чтобы увидеть какое-либо влияние этого обновления на какое-либо приложение или службу из-за возможных ограничений, накладываемых поверх них.

Благодаря grawity для обеспечения примера использования icacls После игры с пользовательским интерфейсом безопасности и icacls , я обнаружил, что есть много идентификаторов безопасности, которые не могут быть непосредственно указаны с понятным именем, но появятся в результатах. Это означает в диалоговом окне Безопасность, а также когда icacls . Попробуйте это (на любой недавней ОС):

icacls FolderName /grant:*S-1-18-2:(oi)(ci)(f)

Затем следует следующая команда:

icacls Folder name

Вы увидите « Идентификационные данные службы » в выходных данных команды и в диалоговом окне «Безопасность». Что касается новых идентификаторов безопасности, вы не увидите их при указании /save вместе с вышеприведенной командой. Однако вы увидите это в диалоговом окне «Безопасность». Короче говоря, немного противоречиво.

Итак, теперь мой вопрос: как указать SID в политике безопасности?

1 ответ1

2

Для файлов вы можете использовать инструмент icacls для добавления записей доступа по SID:

icacls C:\Temp /grant *S-1-5-113:(oi)(ci)(f)

Однако, использование полного имени NT AUTHORITY\Local account должно работать.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .