सुरक्षा नीति में सिड को कैसे निर्दिष्ट करें?

1

डोमेन नियंत्रक पर Windows Server 2008 R2 पर KB2871997 की स्थापना के बाद, आपको एक नया उपयोगकर्ता समूह मिलता है: 'प्रतिबंधित उपयोगकर्ता', और जैसा कि इस लेख में उल्लेख किया गया है , आपको दो नए प्रसिद्ध SID मिलेंगे:

  1. LOCAL_ACCOUNT - कोई भी स्थानीय खाता इस SID को इनहेरिट करेगा
  2. LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP - कोई भी स्थानीय खाता जो व्यवस्थापकों के समूह का सदस्य है, उसे यह SID विरासत में मिलेगा

यह MSDN पृष्ठ सभी प्रसिद्ध SID को सूचीबद्ध करता है, और एक ही पृष्ठ इन दो नए SID ( S-1-5-113 और S-1-5-114 ) को सूचीबद्ध करता है । विंडोज हेडर में, इनके लिए RID शामिल हैं:

#define SECURITY_LOCAL_ACCOUNT_RID (0x00000071L) // 113
#define SECURITY_LOCAL_ACCOUNT_AND_ADMIN_RID (0x00000072L) / 114

मैंने प्रतिबंधित उपयोगकर्ता समूह के महत्व की खोज की है, लेकिन यह नहीं समझ सका कि इन SID को किसी भी वस्तु की सुरक्षा के तहत कैसे रखा जा सकता है - NTFS ड्राइव पर फ़ाइल / फ़ोल्डर से शुरू, ये (या कोई भी) SID कैसे दें?

मैं इस शोध को किसी भी एप्लिकेशन या सेवा पर इस अद्यतन के किसी भी प्रभाव को देखने के लिए कर रहा हूं, इन के शीर्ष पर संभावित प्रतिबंध के कारण।

उदाहरण का उपयोग करने के लिए विशालता के लिए धन्यवाद icacls। सुरक्षा यूआई और icaclsखुद के साथ इधर-उधर की बातें करने के बाद , मुझे पता चला है कि कई SID हैं जो सीधे दोस्ताना नाम के साथ निर्दिष्ट नहीं किए जा सकते हैं, लेकिन परिणामों में दिखाई देंगे। इसका मतलब है कि सुरक्षा संवाद बॉक्स, साथ ही साथ जब icaclsकॉल किया जाता है। इसे आज़माएं (किसी भी हाल में OS पर):

icacls FolderName /grant:*S-1-18-2:(oi)(ci)(f)

निम्नलिखित आदेश का पालन किया:

icacls Folder name

आपको कमांड आउटपुट और सिक्योरिटी डायलॉग बॉक्स में ' सर्विस एज्ड आइडेंटिटी ' दिखाई देगा । नए SID के लिए, आप इसे तब देखेंगे जब आप /saveऊपर दिए गए कमांड के साथ निर्दिष्ट करेंगे । हालाँकि आप इसे सुरक्षा संवाद बॉक्स में देखेंगे। संक्षेप में, थोड़ा असंगत है।

तो, अब , मेरा सवाल है: सुरक्षा नीति में एसआईडी को कैसे निर्दिष्ट करें?

windows  security  permissions  ntfs  windows-server-2012-r2 
अजय
स्रोत

जवाबों:

2

फ़ाइलों के लिए, आप icaclsSID द्वारा एक्सेस एंट्रीज जोड़ने के लिए टूल का उपयोग कर सकते हैं :

icacls C:\Temp /grant *S-1-5-113:(oi)(ci)(f)

हालांकि, पूर्ण नाम का उपयोग करके भी NT AUTHORITY\Local accountकाम करना चाहिए।

grawity
स्रोत
नमूने के लिए धन्यवाद। यह फोल्डर के लिए काम करता है, लेकिन फाइलों के लिए नहीं। इसने S-1-5-113 SID के लिए भी काम किया और एक्सप्लोरर ने 'स्थानीय खाता' दिखाया। यह पाठ का उपयोग करके इसे इनपुट की अनुमति क्यों नहीं देता है? हां, जैसा कि आपने सुझाव दिया, मैंने पूरा नाम इस्तेमाल किया है, लेकिन नहीं।
अजय
@ हर कोई - आप ऊपर 'कमांड देने के बाद। फिर आज्ञाओं का पालन करें: 'icacls C: \ Temp' और 'icacls c: \ Temp / save acl.txt'। आप देखेंगे कि पूर्व 'स्थानीय खाता' प्रदर्शित करता है, लेकिन बाद वाला स्टोर 'S-1-5-113' है। निश्चित रूप से ओएस में एक बग।
अजय
1
@ अजय: यदि /saveएसआईडी स्टोर करता है, तो यह मेरे लिए एक विशेषता की तरह लगता है। नाम सिर्फ सुविधा के लिए हैं; ACL वास्तव में उन्हें संग्रहीत नहीं करता है।
ग्रैविटी
हाँ, यह उन खातों के लिए SID को संग्रहीत करता है जो इसे नहीं समझते हैं। 2012R2 या 8.1 पर स्वयं इसकी कोशिश करें! BTW, मैं अभी भी "ऑब्जेक्ट पिकर सुरक्षा संवाद बॉक्स में SID को निर्दिष्ट करने के लिए कैसे" के साथ fiddling हूं।
अजय
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.