Por que meu grupo de segurança global está sendo filtrado do meu token de logon?

Navegue suas respostas
4

Ao investigar os efeitos de tokens filtrados em minhas permissões de arquivo, notei que um dos meus grupos de segurança globais está sendo filtrado, além dos grupos filtrados definidos pelo sistema normais.

Meu ambiente do Active Directory é uma floresta de domínio único no nível funcional do Windows Server 2003. Vou chamar o domínio "mydomain.example.com". Estou conectado a uma máquina do Windows Server 2008 Enterprise Edition (não a um controlador de domínio) como membro do grupo "MYDOMAIN \ Domain Admins" e do grupo de segurança global "MYDOMAIN \ MySecurityGroup" (entre outros). Quando executo "whoami / groups" em um prompt de comando elevado, vejo a lista completa de grupos aos quais minha conta pertence como esperado. Quando executo "whoami / groups" em um prompt de comando regular e não elevado, vejo a mesma lista de grupos, mas os grupos a seguir são descritos como "Grupo usado apenas para negação".

  1. BUILTIN \ Administradores
  2. MYDOMAIN \ Administradores do esquema
  3. MYDOMAIN \ Oferecer assistentes de assistência remota
  4. MYDOMAIN \ MySecurityGroup

Os números 1 a 3 acima são esperados com base na documentação da Microsoft; número 4 não é. O grupo de segurança global "MYDOMAIN \ MySecurityGroup" é um grupo que eu criei. Ele contém três grupos de segurança globais não incorporados e esses grupos de segurança contêm apenas contas de usuário não integradas. (Ou seja, criei todas as contas e grupos que são membros do grupo de segurança global "MYDOMAIN \ MySecurityGroup".) Há outros grupos semelhantes dos quais minha conta é um membro que não está sendo filtrado do meu token de logon e este grupo não recebe direitos de usuário específicos nas configurações de segurança deste computador ou na Diretiva de Grupo.

O que faria com que esse grupo fosse filtrado do meu token de logon?

    
por Jay Michaud 25.06.2009 / 21:18

3 respostas

1

Isso é estranho, mas eu tenho dois caminhos para tentar:

  1. Pegue uma cópia do Sysinternals Process Explorer e examine a guia de segurança para um processo não elevado, o seu grupo ainda está sendo filtrado? Eu pergunto porque aparentemente Whoami.exe é conhecido por ter erros desde o Vista e até pelo menos o Windows 8 Release Preview (veja Caso do inexplicável: whoami.exe e a bandeira Negar ).

  2. O que é o SID (ou pelo menos o RID) do seu grupo? Existe alguma chance de ser um dos grupos internos? Ou de alguma forma tem um RID suficientemente baixo que o LSASS acha que é um grupo embutido? Não sei se isso é possível, mas quem sabe ... Veja a seção Alterações do token de acesso em Novas tecnologias UAC para o Windows Vista e Identificadores de segurança conhecidos nos sistemas operacionais Windows para mais informações.

  3. E só por curiosidade, você pode definir um arquivo ou uma pasta para permitir o acesso somente ao seu grupo e ver se ele está sendo realmente filtrado? Isso potencialmente iria para a opção 1 acima.

por 12.01.2013 / 08:24
-1

Talvez eu esteja sentindo falta de algo, mas quando você estiver em um grupo de segurança AD diretamente ou por meio de aninhamento, não haverá "filtragem" no login ou a qualquer momento para removê-lo desse grupo ou aos efeitos dele. Uma vez em grupo, sempre no grupo até ser removido.

Poderia ser que a sua atenção esteja focada nas palavras do comando whoami em elevado vs. não elevado e isso não afeta realmente nada relacionado à sua participação no grupo?

Quais são seus resultados para outra ferramenta de solução de problemas de associação de grupo, como gpresult / r.

Aposto que você ainda está no grupo e está tudo bem.

    
por 22.02.2011 / 06:41
-2

Dê uma olhada no link

HTH, Thomas

    
por 09.07.2009 / 11:24

Tags

Não foi possível contatar um controlador de domínio do Active Directory gerenciador de senhas baseado na web (servidor)