Wenn ich ein Benutzerpaar und ein Privileg habe, muss ich feststellen, ob ein Benutzer das Privileg auf dem Server hat. In meinem Setup gilt Folgendes:
- Der Server ist Teil einer Domäne, jedoch kein Domänencontroller
- Es gibt mehrere Domänen mit Vertrauensbeziehung in der Infrastruktur
- Manchmal können Benutzer (lokal, Domäne oder aus einer anderen Domäne) einer lokalen Gruppe angehören, indem sie zu einer anderen Gruppe (Domäne oder lokal) gehören, die zu einer lokalen Gruppe gehört, anstatt direkt zur Gruppe zu gehören.
Beispielszenario für den letzten Punkt:
- Benutzer1 gehört zur Gruppe TeamA in der DomäneA
- DomaimA \ TeamA ist Mitglied von DomainB \ SpecialAccess
- DomainB \ SpecialAccess ist Mitglied von DomainB \ DomainAdmins
- Schließlich gehören DomainB \ DomainAdmins zur lokalen Administratorgruppe
- Die Gruppe "Lokale Administratoren" verfügt über die Berechtigung "SeRemoteInteractiveLogonRight"
Wenn ich nun auf die Eingabe DomainA \ User1 und SeRemoteInteractiveLogonRight muss ich mit Ja oder Nein antworten. Also öffne ich die lokale Richtlinie auf dem Computer, notiere, welche Gruppen rechts aufgelistet sind, und gehe dann zu den Servermanagern, um zu sehen, was sich bei den Gruppenmitgliedern befindet. Anschließend muss ich die Mitglieder der Gruppen in diesen Gruppen anzeigen lassen und so weiter.
Ich habe das Gefühl, dass es einfacher sein kann. Ich war sehr aufgeregt, als ich das AccessChk-Dienstprogramm fand. Es dauerte ganze drei Minuten, bis ich herausfand , dass es nur direkte Beziehungen auflistet, sodass Benutzer innerhalb einer Gruppe nicht aufgelistet werden.
Jetzt vermute ich, dass es möglich wäre, die Ergebnisse von AccessChk so zu kombinieren, dass ich überprüfen kann, ob ein Benutzer zu einer der von AccessChk zurückgegebenen Gruppen gehört, aber da es sich nicht um eine einzelne Domäne handelt, sondern um mehrere von ihnen Ich bin mir nicht sicher, wie ich das angehen soll. Auch die AccessChk-Ausgabe scheint nicht zwischen einer Gruppe und einem Benutzer zu unterscheiden.
BEARBEITEN : Um nicht in eine XY-Problemfalle zu geraten, muss ich wirklich sicherstellen, dass auf einer Gruppe von Servern keine bestimmten Benutzerkonten, die als IIS-Anwendungspoolidentitäten verwendet werden, über die Berechtigungen SeInteractiveLogonRight oder SeRemoteInteractiveLogonRight verfügen. Ich habe kein Problem mit dem IIS-Teil, aber der letzte Schritt, bei dem ein Konto mit einem Privileg abgeglichen wird, ist etwas, bei dem ich Schwierigkeiten habe, einen einfachen Weg zu finden, dies zu überprüfen. Ich möchte auch die Überprüfung automatisieren, da dies regelmäßig durchgeführt werden muss.