当谈到Windows权限时,安全主体(Admin1)可以收集有关另一个安全主体(User1)的信息,例如:他们的(SID)和小组成员(小组SIDS)。然后获取此SIDS列表并将其与ACL(例如,在文件/文件夹上)进行比较,以检查此其他安全主体(User1)是否拥有给定资源的权限
有一些基本信息目前我不太了解的事情是“在什么身份下”Admin1请求User1 SID和User1组SID
例如在上面的链接中,MSDN谈论Kerberos,我对Kerberos的理解是使用安全主体(SPN)密码的散列加密TGT或ST,例如密码用于TGT的krbtgt,密码用于给定SPN的SPN(如CIFS服务)。
我理解服务/会话(在'User for User to Self'中)请求Kerberos服务票证ST为'本身',因此该服务能够解密ST以提取SID
然而,是什么让服务/会话为另一个用户请求SID的'权利'? 是因为AD的任何安全主体身份验证都可以“读取”另一个安全主体的属性,因此请求此列表?我这么认为
我不是程序员,而是Micrsoft服务器/系统工程师