在调查过滤令牌对我的文件权限的影响时,我注意到除了常规系统定义的过滤组之外,我的一个全局安全组正在被过滤。
我的 Active Directory 环境是 Windows Server 2003 功能级别上的单域林。我将调用域“mydomain.example.com”。我作为“MYDOMAIN\Domain Admins”组和“MYDOMAIN\MySecurityGroup”全局安全组(以及其他)的成员登录到 Windows Server 2008 Enterprise Edition 计算机(不是域控制器)。当我从提升的命令提示符处运行“whoami /groups”时,我看到了我的帐户所属的组的完整列表,如预期的那样。当我从常规的非提升命令提示符运行“whoami /groups”时,我看到相同的组列表,但以下组被描述为“仅用于拒绝的组”。
- 内置\管理员
- MYDOMAIN\Schema 管理员
- MYDOMAIN\提供远程协助助手
- MYDOMAIN\MySecurityGroup
上面的数字 1 到 3 是基于 Microsoft 文档的预期;4 号不是。“MYDOMAIN\MySecurityGroup”全局安全组是我创建的一个组。它包含三个非内置的全局安全组,这些安全组只包含非内置的用户帐户。(也就是说,我创建了属于“MYDOMAIN\MySecurityGroup”全局安全组成员的所有帐户和组。)我的帐户所属的其他类似组没有从我的登录令牌中过滤掉,并且此组未在此计算机的安全设置或组策略中授予任何特定用户权限。
什么会导致这一组从我的登录令牌中被过滤掉?
这很奇怪,但我有两种方法可以尝试:
获取Sysinternals Process Explorer的副本并查看非提升进程的安全选项卡,您的组是否仍被过滤掉?我问是因为
Whoami.exe从 Vista 到至少 Windows 8 Release Preview 显然已知存在错误(请参阅无法解释的案例:whoami.exe 和拒绝标志)。你们组的 SID(或至少是 RID)是什么?有没有可能它是内置组之一?或者它以某种方式获得了足够低的 RID,以至于 LSASS 认为它是一个内置组?我不知道这是否可能,但谁知道...有关更多信息,请参阅适用于 Windows Vista 的新 UAC 技术和Windows 操作系统中的知名安全标识符中的访问令牌更改部分。
只是出于好奇,您能否设置一个文件或文件夹以仅允许访问您的组并查看它是否真的被过滤掉了?这可能会朝着上面的选项 1 发展。
也许我遗漏了一些东西,但是一旦您直接或通过嵌套进入 AD 安全组,登录时或任何其他时间都不会进行“过滤”以将您从该组或它的影响中删除。一旦在一个组中,总是在组中,直到被删除。
会不会是您的注意力集中在提升与非提升时 whoami 命令的措辞上,而它实际上不会影响与您在组中的成员身份相关的任何事情?
您使用 gpresult /r 等其他组成员故障排除工具的结果是什么。
我敢打赌你还在小组里,一切都很好。
看看http://support.microsoft.com/kb/947223/en-us
HTH,托马斯