在调查过滤令牌对我的文件权限的影响时,我注意到除了常规的系统定义的过滤组之外,我的一个全局安全组也正在被过滤。
我的 Active Directory 环境是 Windows Server 2003 功能级别的单域林。我将域称为“mydomain.example.com”。我以“MYDOMAIN\Domain Admins”组和“MYDOMAIN\MySecurityGroup”全局安全组(以及其他组)成员的身份登录到 Windows Server 2008 Enterprise Edition 计算机(不是域控制器)。当我从提升的命令提示符运行“whoami /groups”时,我按预期看到了我的帐户所属的完整组列表。当我从常规的非提升命令提示符运行“whoami /groups”时,我会看到相同的组列表,但以下组被描述为“仅用于拒绝的组”。
- 内置\管理员
- MYDOMAIN\Schema 管理员
- MYDOMAIN\提供远程协助助手
- 我的域\我的安全组
根据 Microsoft 文档,上面的数字 1 到 3 是预期的;数字 4 不是。“MYDOMAIN\MySecurityGroup”全局安全组是我创建的组。它包含三个非内置全局安全组,这些安全组仅包含非内置用户帐户。(也就是说,我创建了“MYDOMAIN\MySecurityGroup”全局安全组的所有帐户和组。)我的帐户所属的其他类似组没有从我的登录令牌中过滤掉,并且该组未在该计算机的安全设置或组策略中被授予任何特定的用户权限。
什么原因会导致这个组从我的登录令牌中被过滤掉?
答案1
这很奇怪,但我有两种方法可以尝试:
获取一份Sysinternals 进程浏览器并查看安全选项卡中未提升权限的进程,您的组是否仍被过滤掉?我之所以问这个问题,是因为
Whoami.exe
自 Vista 以来,至少在 Windows 8 Release Preview 中,它显然存在缺陷(请参阅无法解释的案例:whoami.exe 和拒绝标志)。您的组的 SID(或至少 RID)是什么?有任何有可能它是内置组之一吗?或者它以某种方式获得了足够低的 RID,以至于 LSASS 认为它是一个内置组?我不知道这是否可能,但谁知道呢……请参阅访问令牌变更节Windows Vista 的新 UAC 技术和Windows 操作系统中众所周知的安全标识符了解更多信息。
出于好奇,您能否设置一个文件或文件夹以仅允许您的组访问,然后查看它是否真的被过滤掉了?这可能会涉及到上面的选项 1。
答案2
也许我漏掉了什么,但是一旦您直接或通过嵌套进入 AD 安全组,在登录时或任何其他时间都不会进行“过滤”以将您从该组中删除或消除其影响。一旦进入某个组,就永远留在该组中,直到被删除。
难道您的注意力集中在提升与未提升的 whoami 命令的措辞上,而它实际上并没有影响您在该组中的成员资格?
您对其他组成员身份故障排除工具(例如 gpresult /r)的结果如何?
我敢打赌你仍然在团队里并且一切都好。
答案3
看一下http://support.microsoft.com/kb/947223/en-us
HTH,托马斯