我一直在分析日志,发现一个随机 sid 正在针对 AD 进行身份验证。它如下:“s-1-5-21-xxxxx-xxxxx-xxxxx-0”;在域或林中找不到它。我想知道末尾是否有“-0”的特殊含义?
答案1
听起来就像是域 SID. 本质上是域本身的 SID。
https://msdn.microsoft.com/en-au/library/cc228090.aspx
域安全标识符(域 SID):域 NC 的根对象的 SID。域 SID 的相对标识符 (RID) 部分始终为零。域 NC 中的每个安全主体对象都具有与域 SID 相等的 objectSid 属性(RID 部分除外)。