Biorąc pod uwagę parę użytkowników i uprawnienia , muszę ustalić, czy użytkownik ma uprawnienia na serwerze. W mojej konfiguracji są spełnione następujące warunki:
- Serwer jest częścią domeny, ale nie kontrolerem domeny
- Istnieje kilka domen z relacjami zaufania w infrastrukturze
- Czasami użytkownicy (lokalni, domena lub z innej domeny) mogą należeć do grupy lokalnej, ponieważ należą do innej grupy (domeny lub lokalnej), która należy do grupy lokalnej, w przeciwieństwie do przynależności do tej grupy.
Przykładowy scenariusz dla ostatniego punktu:
- Użytkownik1 należy do grupy TeamA w domenieA
- DomaimA \ TeamA jest członkiem DomainB \ SpecialAccess
- Domena B \ SpecialAccess jest członkiem DomainB \ DomainAdmins
- Wreszcie DomainB \ DomainAdmins należy do lokalnej grupy administratorów
- Lokalna grupa administratorów ma przywilej SeRemoteInteractiveLogonRight
Teraz, jeśli mam na wejściu DomainA \ User1 i SeRemoteInteractiveLogonRight, muszę dotrzeć do odpowiedzi Tak lub Nie. Otwieram więc zasady lokalne na komputerze, zauważam, które grupy są wyświetlane wbrew prawu, jestem również zainteresowany, następnie udaj się do menedżerów serwerów i zobacz, co u członków grupy, a następnie muszę zobaczyć, którzy członkowie którejkolwiek grupy w tych grupach i tak dalej.
Mam przeczucie, że może być łatwiej. Byłem naprawdę podekscytowany, gdy znalazłem narzędzie AccessChk. Trwało to całe trzy minuty, zanim odkryłem, że zawiera on tylko bezpośrednie relacje, więc użytkownik w grupie nie zostanie wymieniony.
Teraz zgaduję, że możliwe byłoby połączenie wyników z AccessChk, aby móc sprawdzić, czy użytkownik należy do którejkolwiek z grup, które zwraca AccessChk, ale biorąc pod uwagę, że nie jest to jedna domena, ale kilka z nich nie jestem pewien, jak do tego podejść. Również dane wyjściowe AccessChk nie rozróżniają grupy od użytkownika.
EDYCJA : W duchu nie wpadania w pułapkę problemów XY, muszę naprawdę upewnić się, że na grupie serwerów żadne określone konta użytkowników używane jako tożsamości puli aplikacji IIS nie mają uprawnień SeInteractiveLogonRight lub SeRemoteInteractiveLogonRight. Nie mam problemu z częścią IIS, ale ostatnim krokiem do sprawdzenia konta pod kątem przywileju jest coś, o co staram się znaleźć prosty sposób na sprawdzenie. Chciałbym również zautomatyzować sprawdzanie, ponieważ należy to robić regularnie.
źródło
Odpowiedzi:
Tokeny dostępu nie mają informacji o prawach, tylko o uprawnieniach.
Co musisz zrobić, to:
Powyższe opiera się na istnieniu procesu (i tokena) odpowiadającego tożsamości konta. W twoim scenariuszu nie powinno to stanowić problemu. W scenariuszach, w których jest to problem, możesz spróbować wyszukać w usłudze Active Directory atrybut obliczony Token-Groups . W tym artykule wymieniono kilka podejść, jak to zrobić.
źródło