如何在 Active Directory 域中检查 NTFS 文件夹访问权限?
Gra*_*per 6 active-directory ntfs access-control-list
我了解 NTFS 文件夹和 AD 对象都使用安全描述符和 DACL\xe2\x80\x99s 来检查用户/进程访问\n MS Learn - 访问检查的工作原理
\n但是,访问检查如何解析嵌套 AD 组的 ACE\xe2\x80\x99s?例如:
\n- \n
- AD组
AD-Parent被授予修改权限F:\\Restrict\n - AD 组
AD-VIPs是以下组的子组AD-Parent\n - 用户
vip是以下组织的成员AD-VIPs\n
我的理解是
\n- \n
vip安全描述符将有一个 ACE 引用AD-VIPs和 \nF:RestrictDACL 将有一个 ACE 指AD-Parent\n
Windows 中的哪个进程如何以及哪个进程找到 `vip -> AD-VIPs -> AD-Parent\xe2\x80\x99 链并授予访问权限?
\n在登录/身份验证/授权检查期间,安全组成员身份将添加到 Kerberos 令牌的特权访问证书 (PAC) 部分。这包括嵌套组。
访问文件夹时,拥有资源的主机(在本例中为文件服务器)会将 ACL 中的 SecurityIdentifiers 与 Kerberos 令牌的 PAC 中的 SecurityIdentifiers 进行比较。如果匹配,则授予访问权限。
https://learn.microsoft.com/en-us/windows/win32/adschema/a-tokengroups
“由于给定用户或计算机上的传递组成员资格扩展操作而包含 SID 列表的计算属性。如果不存在用于检索传递反向成员资格的全局目录,则无法检索令牌组。”
让我们从您提供的链接开始(强调我的):
\n\n\n系统将每个 ACE 中的受托者与线程的访问令牌中标识的受托者进行比较。访问令牌包含标识用户和用户所属组帐户的安全标识符 (SID)。
\n
事实上,“用户所属的组帐户”取自用户登录时收到的 Kerberos 票证。该票证包含用户所属的所有组的 SID,无论该组是否嵌套是否在另一个组内。
\n具体来说,回答你的问题:
\n\n\nWindows 中的哪个进程如何以及哪个进程找到 `vip -> AD-VIPs -> AD-Parent\xe2\x80\x99 链并授予访问权限?
\n
此任务由域控制器在生成票证授予票证 (TGT) 时(通常是在用户登录时)执行。TGT 包含用户所属的所有组的 SID。
\n您可以使用Process Explorer进行实验并查看其中的一些内容:\n启动 Process Explorer,双击由域用户启动的进程(例如 notepad.exe),单击“安全”选项卡,然后您将在即使组是嵌套的,也能够查看组成员身份。
\n