在调查过滤令牌对我的文件权限的影响时,我注意到除了常规的系统定义的过滤组以外,我的全局安全组中还有一个被过滤。
我的Active Directory环境是Windows Server 2003function级别上的单一域林。 我将调用域“mydomain.example.com”。 我作为“MYDOMAIN \ Domain Admins”组和“MYDOMAIN \ MySecurityGroup”全局安全组(除其他之外)的成员login到Windows Server 2008 Enterprise Edition计算机(而不是域控制器)。 当我从提升的命令提示符运行“whoami / groups”时,我会看到我的账户所属的组的完整列表。 当我从常规,非提升的命令提示符运行“whoami / groups”时,我看到了相同的组列表,但以下组描述为“仅用于拒绝的组”。
以上数字1到3预计基于Microsoft文档; 4号不是。 “MYDOMAIN \ MySecurityGroup”全局安全组是我创build的一个组。 它包含三个非内置的全局安全组,这些安全组只包含非内置的用户帐户。 (也就是说,我创build了属于“MYDOMAIN \ MySecurityGroup”全局安全组的成员的所有帐户和组)。还有其他类似的组,我的帐户是未经我的login令牌筛选的成员,并且该组未在此计算机的安全设置或组策略中授予任何特定的用户权限。
什么会导致这个组被过滤出我的login令牌?
这很奇怪,但我有两个途径尝试:
抓取一个Sysinternals进程资源pipe理器的副本,并查看安全选项卡的非升级过程,你的团队仍然被过滤掉? 我问,因为显然Whoami.exe是自Vista以来,至less在Windows 8发布预览(见不明原因的情况:whoami.exe和拒绝标志 )的越野车。
什么是你组的SID(或者至less是RID)? 有没有机会成为内置的组织之一? 或者它以某种方式获得了足够低的RID,LSASS认为这是一个内置的组? 我不知道这是否有可能,但是谁知道…请参阅Windows Vista新UAC技术中的访问令牌更改部分以及Windows操作系统中众所周知的安全标识符以获取更多信息。
只是出于好奇,你可以设置一个文件或文件夹,只允许访问你的小组,看看它是否真的被过滤出来? 这可能会走向上面的选项1。
也许我错过了一些东西,但是一旦您直接或通过嵌套在AD安全组中,在login或任何其他时间都不会进行“筛选”,从而将您从该组或其效果中删除。 一旦在一个组中,总是在组中,直到删除。
难道你的注意力集中在高架和高架的whoami命令的文字上,而且实际上并没有影响任何涉及你在团队中的会员身份?
gpresult / r等另一组成员资格疑难解答工具的结果是什么?
我敢打赌,你仍然在组中,一切都很好。