在更改授予 成员资格的域组成员资格时,出现了这种情况BUILTIN\Administrators。具体来说,管理员的组成员资格在工作站上没有更新,直到管理员像普通用户一样登录桌面。这是引发此问题的场景:
开始设置:
WSAdminGroup1具有成员的 域组
admin1- 工作站
ws1:
WSAdminGroup1是...的成员BUILTIN\Administratorsuser1是...的成员BUILTIN\Users- 当
user1遇到 UAC 提示时,admin1可以授权提升变化:
- 添加域组
WSAdminGroup2及其成员
admin2- 添加
WSAdminGroup2BUILTIN\Administrators结果:
- 当
user1遇到 UAC 提示时,admin2无法授权提升
因此,我们有一位管理员,他应该通过其在的域组成员身份admin2拥有BUILTIN\Administrators工作站上的成员资格,但无法授权上的 UAC 提升提示。 ws1WSAdminGroup2ws1
无论等待多久、重新启动多久或注销多久,user1都无法admin2获得工作站的管理员访问权限。事实证明,登录工作站桌面最终admin2导致admin2获得管理员访问权限。
这表明管理员的访问令牌直到登录到桌面后才admin2在工作站上更新。但我还没有找到与该结论一致的文档。 ws1admin2
无论如何,我想弄清楚以下问题:
admin2当这种情况发生时,管理员的访问令牌到底发生了什么?- 对于不定期登录工作站桌面的身份(例如管理员),是否有其他方法可以触发发布新的访问令牌以反映最新的组成员身份?
- 任何不涉及登录桌面的授权方式(如 PowerShell 远程处理或调用“以管理员身份运行”)是否都会导致颁发新的访问令牌?
答案1
您可以考虑使用Windows 的受保护用户功能(如讨论的那样这个答案)来完全阻止缓存管理员凭据。这也有助于减轻横向移动风险。