中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SID Filtering中文版bug

發布時間:2020-07-06 06:56:30 來源:網絡 閱讀:2590 作者:老收藏家 欄目:建站服務器

     距離老王上次發布共享權限遷移系列文章已經過去將近一年了,當時寫的文件服務器遷移系列文章,看似完美,但其實對于老王來說我只能給自己打80分,為什么呢,因為最后在測試SID Filtering的時候我沒做出來效果,在心里始終是個遺憾,一直想把這個遺憾給補上,后來給補上了,SID Filtering是一項過濾SID歷史的隔離技術,防止惡意用戶將SID歷史帶到新的林環境。實際測試驗證得出兩個結論,


     1.默認情況SID Filtering會啟動在外部信任林環境。測試步驟:A域控屬于contoso林,B域控屬于apm林,建立外部信任關系,A林內有一臺03文件服務器,設置了A域用戶Stat對于共享文件夾具備Full Control權限,遷移Stat用戶到APM林中的B域控,使用ADMT進行遷移,注意遷移的時候有一個是否要遷移SID記錄的勾,要勾選上,不然看不出效果。遷移完成之后可以看到Stat用戶在APM林中,用戶已經帶有SID歷史。測試結果,雖然SID歷史已遷移,但是APM林的Stat并不能訪問Contoso林原來的共享文件夾,按照林內遷移來說,這時Stat應該是可以訪問原來的共享文件夾的,因為SID歷史帶過去了。但是在外部信任林間環境明顯默認是不行的。雖然ADMT遷移時勾選了遷移SID記錄,遷移過來用戶也具備SID歷史,但就是不能訪問原來可以訪問的文件夾,這就說明SID filtering生效了,并且默認啟用了起來。


   什么是SID filtering呢,簡單來說,就是防止遷移域用戶的時候把惡意用戶的SID歷史傳遞過去,進而利用通訊組完成提權。By Default,微軟認為外部信任是相對來說較為不安全,或者說較為不被信任的,從信任傳遞就能看出來,外部信任不能傳遞信任,林信任支持上下傳遞,不能東西傳遞。之前那次老王測試的時候也使用了外部信任的環境,但是就沒有效果,SID Filtering沒生效。


    現在明白了,我當時是把文件服務器也一起遷移到APM林了,簡單來說就是資源和賬戶都在目標林了,然后我用遷移過來的賬戶做測試,同林同域內的訪問,估計SID filtering就壓根沒起到效果,這次我把文件服務器遷移回源林了,資源在源林,賬戶到目標林,這時賬戶再訪問跨林資源,SID filtering檢測,不是在林內域內發生的訪問了,于是SID filtering生效,是by default的生效。


    實際測試得出結論,默認情況下,啟用sid filtering的只有外部信任環境,SID filtering要實現效果,資源和賬戶必須不處于同一域內。實際測試。林級別2003以上,可以針對父子信任,樹根信任,林信任啟用 SID filtering。


   2.默認情況下外部信任啟用SID filtering,這很好,凡是從外部信任林遷移過來的用戶,我都不接受你的SID歷史了,但是如何能重新接受SID歷史呢,外部信任如何關閉SID filtering,和其它信任一樣,接受SID歷史的傳遞訪問呢,老王當時測試了一個下午,都快測試麻木了,嘗試了各種各樣的外國辦法,修改組策略,改注冊表,替換netdom文件,都不能解決問題,看了很多外國大師的文章,發現和我的操作步驟都一致,后來看到了一篇德國文章,上面就很奇怪了,那個德國人的執行命令有個參數和其它人都不一樣,我猜也許會是系統語言的問題,后來也有波蘭人個人提到說德國環境下執行命令執行不了,換英文語言包就好了,后來我也死馬當活馬醫,下了個英文語言包,一裝,直接就好了。。。同樣的一個命令,中文環境下執行了100次也不行,打個英文語言包立馬就好,后來在中文版technet論壇上面反饋,很遺憾未得到微軟中國的回應


我的環境下兩個林環境,分別由兩臺2008R2中文標準版域控承載,我創建了外部信任

默認情況下Sid Filtering已經生效


在我嘗試運行禁用SID Filtering命令的時候,2008R2中文版上面命令執行效果如下


一個命令,三個不同參數,卻得到了同樣的回復


已為此信任啟用 SID 篩選功能。身份驗證期間返回的授權數據
將只接受來自受信域的 SID。

其他域的 SID 將被刪除。


SID Filtering中文版bug

SID Filtering中文版bug

當我給系統打上英文語言包,顯示語言改為英文,再次執行同樣的命令,即可得到正確的回復,也可以看到效果

SID Filtering中文版bug

technet論壇發帖https://social.technet.microsoft.com/Forums/zh-CN/e3e53a02-efd9-42cd-8a08-f8484ee9c418/2008r2-sid-filteringbug?forum=windowsserversystemzhchs


SID Filtering學習資料

https://morgansimonsen.com/2012/01/27/some-sid-filtering-notes/

https://blog.thesysadmins.co.uk/admt-series-3-sid-history.html


   SID History 和 SID Filtering這兩個東西呢,各有各的應用場景,設計目的都是好的,如果遷移過去的用戶希望能夠訪問之前的文件,ADMT保留SID記錄就好了,如果處于安全考慮,希望遷移過去的用戶,不再能訪問原來的文件夾,只要針對信任關系啟用SID filtering就可以


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

新田县| 辽中县| 蓬安县| 蒙山县| 玉田县| 山阳县| 四会市| 松溪县| 垣曲县| 女性| 舒兰市| 开平市| 丰原市| 呼伦贝尔市| 富宁县| 崇信县| 凌海市| 鹤岗市| 平湖市| 南丰县| 西平县| 肥城市| 七台河市| 灌南县| 玉田县| 洱源县| 雅安市| 金寨县| 景泰县| 博湖县| 驻马店市| 江山市| 东安县| 博客| 神农架林区| 扶沟县| 沙湾县| 灌南县| 龙海市| 德阳市| 桃园市|