我有一个安全谜团 :) 有效权限选项卡显示,少数抽样用户(IT 操作)拥有任何和所有权限(所有框都已勾选)。权限显示本地管理员组具有完全访问权限,一些业务用户也拥有访问权限,但抽样用户不是其中的成员。本地管理员组有一些 AD IT Ops 相关组,抽样用户再次似乎不是其中的成员。抽样用户也不是域管理员的成员。我尝试向后追踪(从权限到用户)和向前追踪(用户到权限),但找不到任何东西。此时,有三个选项:
- 我错过了一些东西,他们是一些团体的成员。
- 还有另一种获取完全权限的方法。
- 有效许可是极其错误的。
有没有办法检索有效权限的决策逻辑?有什么提示、技巧或想法吗?
更新:获胜答案是第 3 项 - 有效权限完全错误。比较以管理员身份登录的服务器运行的输出和以普通用户身份从远程计算机运行的输出时,显示不同的结果:所有框(完全)访问和服务器上 - 无。实际上测试访问当然会拒绝访问。
答案1
有效权限对于维护安全至关重要,但遗憾的是,微软对有效权限的实施并不准确,因此不可靠。
我们也一直在寻找一种可靠的方法来确定有效权限。
我们对可以使用的 PowerShell 脚本、命令行工具甚至基本 API 感到满意,但在广泛搜索之后,很长时间都没有找到任何东西。
上个月,我与 MS 联系人分享了我的不满,他向我们介绍了一个 SME 论坛上的讨论 -http://www.activedirsec.org/t49320432/why-does-the-effective-permissions-tab-in-active-directory-n/
事实证明,微软的合作伙伴已经解决了这个问题,他们建立了一个精确的有效的权限工具称为 AD 的金手指。它是一款基于 GUI 的简约工具,功能强大 - 值得一试。
答案2
我不是 Windows 管理员,但我见过这种情况访问检查同事们正在使用的工具。它会对你有帮助吗?
这只是 Linux 兄弟的一次大胆尝试。:D
答案3
我自己也曾见过有效权限出错的情况(在 Win2K3 上,但我认为在 Win2k8 上也会出现这种情况)。我从未弄清楚确切原因,但就我而言,这可能与用户属于太多组(包括子组)有关。
如果您的用户是 100 多个群组的成员,您可以查看这篇文章:http://support.microsoft.com/kb/327825
另外,我编写了一个 HTA 脚本来显示用户所属的整个组树,这对我帮助很大。你可以在此处下载:http://zeda.nl/EN/Blog/020_Overview_nested_groups