После установки KB2871997 в Windows Server 2008 R2 на контроллере домена вы получаете новую группу пользователей: «Ограниченные пользователи», и, как упоминается в этой статье, вы получаете два новых известных идентификатора безопасности:
- LOCAL_ACCOUNT - любой локальный аккаунт унаследует этот SID
- LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP - любая локальная учетная запись, являющаяся членом группы администраторов, унаследует этот SID
На этой странице MSDN перечислены все хорошо известные SID, а на этой же странице перечислены эти два новых SID (S-1-5-113 и S-1-5-114). В заголовок Windows RID для них включены:
#define SECURITY_LOCAL_ACCOUNT_RID (0x00000071L) // 113
#define SECURITY_LOCAL_ACCOUNT_AND_ADMIN_RID (0x00000072L) / 114
Я обнаружил важность группы «Restricted Users», но не мог понять, как эти SID могут быть помещены в Security любого объекта - начиная с файла / папки на диске NTFS, как назначить эти (или любые) SID?
Я делаю это исследование, чтобы увидеть какое-либо влияние этого обновления на какое-либо приложение или службу из-за возможных ограничений, накладываемых поверх них.
Благодаря grawity для обеспечения примера использования icacls После игры с пользовательским интерфейсом безопасности и icacls , я обнаружил, что есть много идентификаторов безопасности, которые не могут быть непосредственно указаны с понятным именем, но появятся в результатах. Это означает в диалоговом окне Безопасность, а также когда icacls . Попробуйте это (на любой недавней ОС):
icacls FolderName /grant:*S-1-18-2:(oi)(ci)(f)
Затем следует следующая команда:
icacls Folder name
Вы увидите « Идентификационные данные службы » в выходных данных команды и в диалоговом окне «Безопасность». Что касается новых идентификаторов безопасности, вы не увидите их при указании /save вместе с вышеприведенной командой. Однако вы увидите это в диалоговом окне «Безопасность». Короче говоря, немного противоречиво.
Итак, теперь мой вопрос: как указать SID в политике безопасности?