在域控制器上的 Windows Server 2008 R2 上安装 KB2871997 后,您将获得一个新的用户组:“受限用户”,并且这篇文章提到,您将获得两个新的知名 SID:
- 本地帐户– 任何本地帐户都将继承此 SID
- 本地帐户和管理员组成员– 任何属于管理员组成员的本地帐户都将继承此 SID
这MSDN 页面列出了所有众所周知的 SID,同一页面列出了这两个新的 SID(S-1-5-113, 和S-1-5-114)。在 Windows 标头中,包含以下 RID:
#define SECURITY_LOCAL_ACCOUNT_RID (0x00000071L) // 113
#define SECURITY_LOCAL_ACCOUNT_AND_ADMIN_RID (0x00000072L) / 114
我发现了受限用户组的重要性,但不明白如何将这些 SID 置于任何对象的安全性之下 - 从 NTFS 驱动器上的文件/文件夹开始,如何赋予这些(或任何)SID?
我正在进行这项研究,以了解此更新对任何应用程序或服务的任何影响,因为可能对这些应用程序或服务施加了限制。
谢谢重力提供使用的示例icacls。在摆弄了安全 UI 及其icacls本身之后,我发现有很多 SID 无法直接用友好名称指定,但将出现在结果中。这意味着在“安全”对话框中,以及icacls调用时。尝试以下操作(在任何较新的操作系统上):
icacls FolderName /grant:*S-1-18-2:(oi)(ci)(f)
然后执行以下命令:
icacls Folder name
你会看见 '服务声明身份' 在命令输出中,以及在“安全”对话框中。对于新的 SID,当您指定/save上述命令时,您将看不到它。但是,您将在“安全”对话框中看到它。简而言之,几乎没有不一致之处。
所以,现在,我的问题是:如何在安全策略中指定SID?
答案1
对于文件,可以使用该icacls工具按SID添加访问条目:
icacls C:\Temp /grant *S-1-5-113:(oi)(ci)(f)
不过,使用全名NT AUTHORITY\Local account也应该可以。