我是域管理员,我希望以编程方式在API(例如C ++)中获取我域中某些服务器上的某些共享文件夹的所有权。我做了一些阅读工作,发现默认情况下Domain Admin位于成员计算机的Local Admins组中,而Local Admins用户无论如何都可以获得所有权。我只是用这种方式编写了一些代码,但在使用GetNamedSecurityInfo获取所有者sid时仍然遇到ERROR_ACCESS_DENIED?问题出在哪里?
有趣的是:当我将GetNamedSecurityInfo的secound参数从SE_FILE_OBJECT更改为SE_LMSHARE时,它会成功(也设置一个)。但我没有看到所有者在文件夹属性的“安全”选项卡中更改。我知道“分享”许可与“安全”许可不同。 “分享”权限甚至没有拥有者。那么当我通过SE_LMSHARE参数调用GetNamedSecurityInfo时,我得到了什么?
这是我用于获取文件夹“strFileName”的所有权的功能,在服务器“strServerName”上,所有者更改为仅称为“strDomainName”的域管理员帐户“strUserName”“strPassword”,原始所有者保留在“pOriginSID”中。 我在GetNamedSecurityInfo调用中得到了错误代码5(也是Set 1)。我还写了一个模拟方法“logOnByUserPassword”,似乎不起作用,我把它粘贴在下面。
HANDLE ADPermissionSearch :: getAccessTokenByCredential(CString strDomainName,CString strUserName,CString strPassword) {
CString strUPNUserName = strUserName + _T("@") + strDomainName;
HANDLE hToken;
BOOL bResult;
//bResult = LogonUser(strUserName, strDomainName, strPassword, LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_DEFAULT,
// &hToken);
if (strDomainName != _T(""))
{
bResult = LogonUser(strUPNUserName, _T(""), strPassword, LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_DEFAULT,
&hToken);
}
else
{
bResult = LogonUser(strUserName, _T("."), strPassword, LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_DEFAULT,
&hToken);
}
if (bResult == FALSE)
{
MyMessageBox_Error(_T("getAccessTokenByCredential Error."), _T("Error"));
return FALSE;
}
else
{
return hToken;
}
}
int ADPermissionSearch :: takeOwnership(CString strServerName,CString strFileName,CString strDomainName,CString strUserName,CString strPassword,__ out PSID& pOriginSID) {
CString strUNCFileName = _T("\\\\") + strServerName + _T("\\") + strFileName;
_bstr_t bstrUNCFileName = _bstr_t(strUNCFileName);
PSID pSIDAdmin = NULL;
SID_IDENTIFIER_AUTHORITY SIDAuthNT = SECURITY_NT_AUTHORITY;
HANDLE hToken = NULL;
DWORD dwRes;
// Create a SID for the BUILTIN\Administrators group.
if (!AllocateAndInitializeSid(&SIDAuthNT, 2,
SECURITY_BUILTIN_DOMAIN_RID,
DOMAIN_ALIAS_RID_ADMINS,
0, 0, 0, 0, 0, 0,
&pSIDAdmin))
{
if (pSIDAdmin)
FreeSid(pSIDAdmin);
if (hToken)
CloseHandle(hToken);
MyMessageBox_Error(_T("takeOwnership"));
return 0;
}
// If the preceding call failed because access was denied,
// enable the SE_TAKE_OWNERSHIP_NAME privilege, create a SID for
// the Administrators group, take ownership of the object, and
// disable the privilege. Then try again to set the object's DACL.
// Open a handle to the access token for the calling process.
/*
if (!OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES,
&hToken))
{
if (pSIDAdmin)
FreeSid(pSIDAdmin);
if (hToken)
CloseHandle(hToken);
MyMessageBox_Error(_T("takeOwnership"));
return 0;
}
*/
if ((hToken = getAccessTokenByCredential(strDomainName, strUserName, strPassword)) == NULL)
{
if (pSIDAdmin)
FreeSid(pSIDAdmin);
if (hToken)
CloseHandle(hToken);
MyMessageBox_Error(_T("takeOwnership"));
return 0;
}
// Enable the SE_TAKE_OWNERSHIP_NAME privilege.
if (!setPrivilege(hToken, SE_TAKE_OWNERSHIP_NAME, TRUE))
{
if (pSIDAdmin)
FreeSid(pSIDAdmin);
if (hToken)
CloseHandle(hToken);
MyMessageBox_Error(_T("takeOwnership"));
return 0;
}
// Get the original owner in the object's security descriptor.
dwRes = GetNamedSecurityInfo(
bstrUNCFileName, // name of the object
SE_FILE_OBJECT, // type of object
OWNER_SECURITY_INFORMATION, // change only the object's owner
&pOriginSID, // SID of Administrator group
NULL,
NULL,
NULL,
NULL);
if (dwRes != ERROR_SUCCESS)
{
if (pSIDAdmin)
FreeSid(pSIDAdmin);
if (hToken)
CloseHandle(hToken);
MyMessageBox_Error(_T("takeOwnership"));
return 0;
}
// Set the owner in the object's security descriptor.
dwRes = SetNamedSecurityInfo(
bstrUNCFileName, // name of the object
SE_FILE_OBJECT, // type of object
OWNER_SECURITY_INFORMATION, // change only the object's owner
pSIDAdmin, // SID of Administrator group
NULL,
NULL,
NULL);
if (dwRes != ERROR_SUCCESS)
{
if (pSIDAdmin)
FreeSid(pSIDAdmin);
if (hToken)
CloseHandle(hToken);
MyMessageBox_Error(_T("takeOwnership"));
return 0;
}
// Disable the SE_TAKE_OWNERSHIP_NAME privilege.
if (!setPrivilege(hToken, SE_TAKE_OWNERSHIP_NAME, FALSE))
{
if (pSIDAdmin)
FreeSid(pSIDAdmin);
if (hToken)
CloseHandle(hToken);
MyMessageBox_Error(_T("takeOwnership"));
return 0;
}
return 1;
}
BOOL ADDirectorySearch :: logOnByUserPassword(CString strDomainName,CString strUserName,CString strPassword) {
CString strUPNUserName = strUserName + _T("@") + strDomainName;
HANDLE hToken;
BOOL bResult;
//bResult = LogonUser(strUserName, strDomainName, strPassword, LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_DEFAULT,
// &hToken);
if (strDomainName != _T(""))
{
bResult = LogonUser(strUPNUserName, _T(""), strPassword, LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_DEFAULT,
&hToken);
}
else
{
bResult = LogonUser(strUserName, _T("."), strPassword, LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_DEFAULT,
&hToken);
}
if (bResult == FALSE)
{
MyMessageBox_Error(_T("logOnByUserPassword Error."), _T("Error"));
return FALSE;
}
else
{
bResult = ImpersonateLoggedOnUser(hToken);
if (bResult == FALSE)
{
MyMessageBox_Error(_T("logOnByUserPassword Error."), _T("Error"));
return FALSE;
}
else
{
return TRUE;
}
}
}
答案 0 :(得分:1)
本地管理员必须遵守常规的Windows安全检查,但有一个例外:无论权限如何,他们都可以获得安全对象的所有权。这可确保管理员始终能够重新获得控制权。
但是,您并不是要取得所有权,而是试图阅读当前的所有者,而您并不一定有权这样做。
从您的代码中不清楚为什么要尝试阅读所有者。你似乎没有做任何事情。也许完全删除对GetNamedSecurityInfo的调用。
<强>更新
目的是编写一个程序来检查每个共享上的DACL。因此,它需要保存当前所有者,获取所有权,读取DACL并恢复所有者。但是,在拥有所有权之前,目前的所有者无法阅读。
我认为这种行为是设计的。最初的意图是管理员能够获得所有权,但不能隐藏他们从对象所有者那里获得的事实,尽管有办法解决这个问题。例如,对于文件,您可以通过启用备份权限,调用BackupRead并解析输出(一系列WIN32_STREAM_ID结构,每个结构后跟数据)来读取完整的安全描述符(包括所有者)。我不知道是否有更简单的方法。
有关股票的信息存储在注册表中:
SYSTEM\CurrentControlSet\Services\LanmanServer\Shares
安全信息似乎存储在Security子项中,以共享命名的值存储。此二进制值似乎是一个安全描述符,因此您可以使用GetSecurityDescriptorOwner读取所有者。您还可以从此安全描述符中读取所有其他安全信息,因此您根本不需要更改所有者。