在更改授予 成员资格的域组成员资格时,出现了这种情况BUILTIN\Administrators
。具体来说,管理员的组成员资格在工作站上没有更新,直到管理员像普通用户一样登录桌面。这是引发此问题的场景:
开始设置:
WSAdminGroup1
具有成员的 域组
admin1
- 工作站
ws1
:
WSAdminGroup1
是...的成员BUILTIN\Administrators
user1
是...的成员BUILTIN\Users
- 当
user1
遇到 UAC 提示时,admin1
可以授权提升变化:
- 添加域组
WSAdminGroup2
及其成员
admin2
- 添加
WSAdminGroup2
BUILTIN\Administrators
结果:
- 当
user1
遇到 UAC 提示时,admin2
无法授权提升
因此,我们有一位管理员,他应该通过其在的域组成员身份admin2
拥有BUILTIN\Administrators
工作站上的成员资格,但无法授权上的 UAC 提升提示。 ws1
WSAdminGroup2
ws1
无论等待多久、重新启动多久或注销多久,user1
都无法admin2
获得工作站的管理员访问权限。事实证明,登录工作站桌面最终admin2
导致admin2
获得管理员访问权限。
这表明管理员的访问令牌直到登录到桌面后才admin2
在工作站上更新。但我还没有找到与该结论一致的文档。 ws1
admin2
无论如何,我想弄清楚以下问题:
admin2
当这种情况发生时,管理员的访问令牌到底发生了什么?- 对于不定期登录工作站桌面的身份(例如管理员),是否有其他方法可以触发发布新的访问令牌以反映最新的组成员身份?
- 任何不涉及登录桌面的授权方式(如 PowerShell 远程处理或调用“以管理员身份运行”)是否都会导致颁发新的访问令牌?
答案1
您可以考虑使用Windows 的受保护用户功能(如讨论的那样这个答案)来完全阻止缓存管理员凭据。这也有助于减轻横向移动风险。