কোনও প্রদত্ত ব্যবহারকারীর একটি প্রদত্ত অধিকার রয়েছে কিনা তা পরীক্ষা করুন

ব্যবহারকারীর একটি জুড়ি এবং একটি সুযোগ দেওয়া আমাকে সার্ভারে কোনও ব্যবহারকারীর অধিকার রয়েছে কিনা তা নির্ধারণ করতে হবে। নিম্নলিখিতটি আমার সেটআপে সত্য:

• সার্ভারটি একটি ডোমেনের একটি অংশ তবে কোনও ডোমেন নিয়ামক নয়
• অবকাঠামোতে বিশ্বাসের সম্পর্কযুক্ত বেশ কয়েকটি ডোমেন রয়েছে
• কখনও কখনও ব্যবহারকারীরা (স্থানীয়, ডোমেন, বা অন্য কোনও ডোমেন থেকে) সরাসরি কোনও গ্রুপের অন্তর্ভুক্ত অন্য কোনও গ্রুপে (ডোমেন বা স্থানীয়) স্থানীয় লোকের অন্তর্ভুক্ত থাকার যোগ্যতার দ্বারা স্থানীয় গ্রুপের অন্তর্ভুক্ত হতে পারে।

শেষ পয়েন্টের উদাহরণের উদাহরণ:

• ব্যবহারকারী 1 ডোমেনএর গ্রুপ টিমএর অন্তর্ভুক্ত
• ডোমাইমএ \ টিমএএ ডোমেনবি \ স্পেশালঅ্যাক্সেসের একটি সদস্য
• ডোমেনবি \ স্পেশালএ্যাক্সেস ডোমেনবি \ ডোমেনএডমিনস এর একটি সদস্য
• শেষ পর্যন্ত ডোমেনবি \ ডোমেনএডমিনগুলি স্থানীয় প্রশাসক গোষ্ঠীর অন্তর্ভুক্ত
• স্থানীয় প্রশাসক গোষ্ঠীর SeRemoteInteractiveLogonRight প্রাইভেলিজ রয়েছে

এখন যদি আমার ইনপুটটিতে ডোমেনএ \ ব্যবহারকারীর 1 এবং SeRemoteInteractiveLogonRight থাকে তবে আমাকে হ্যাঁ বা উত্তর নেই to সুতরাং আমি মেশিনে স্থানীয় নীতিটি খুলি, নোট করুন যে গ্রুপগুলি আমারও আগ্রহী সেই অধিকারের বিপরীতে তালিকাভুক্ত করা আছে তবে সার্ভার পরিচালকদের কাছে যান এবং গ্রুপের সদস্যদের কী দেখুন এবং তারপরে এই গ্রুপগুলির মধ্যে কোন গ্রুপের সদস্যরা আমাকে দেখতে হবে ইত্যাদি।

আমার কাছে অন্ত্রে অনুভূতি রয়েছে যে এটি আরও সহজ হতে পারে। আমি যখন এক্সেসচেক ইউটিলিটি পেয়েছি তখন আমি সত্যিই উত্তেজিত ছিলাম এটি পুরো তিন মিনিট স্থায়ী হয়েছিল যা আমাকে আবিষ্কার করতে পেরেছিল যে এটি কেবল প্রত্যক্ষ সম্পর্কের তালিকাবদ্ধ করে, সুতরাং কোনও গোষ্ঠীর মধ্যে ব্যবহারকারী তালিকাভুক্ত হবে না।

এখন আমি অনুমান করছি যে এক্সেসসিএইচসি থেকে ফলাফলগুলি একত্রিত করা সম্ভব হবে যাতে আমি কোনও ব্যবহারকারী যে কোনও গ্রুপেরই অ্যাক্সেসচেক ফিরে আসে তা পরীক্ষা করে দেখতে পারি, কিন্তু প্রদত্ত যে এটি একটি ডোমেন নয় তবে তাদের বেশ কয়েকটি আমি I'm কীভাবে এটি পৌঁছাতে হবে তা নিশ্চিত নয়। এছাড়াও অ্যাক্সেসচেক আউটপুট কোনও গ্রুপ এবং ব্যবহারকারীর মধ্যে পার্থক্য বলে মনে হচ্ছে না।

সম্পাদনা : এক্সওয়াই সমস্যা ফাঁদে না পড়ার প্রবণতায়, আমাকে যা করতে হবে তা হ'ল এটি নিশ্চিত করা দরকার যে সার্ভারের একটি গ্রুপে আইআইএস অ্যাপ্লিকেশন পুল পরিচয় হিসাবে নির্দিষ্ট কোনও ব্যবহারকারীর অ্যাকাউন্টগুলিতে SeInteractiveLogonRight বা SeRemoteInteractiveLogonRight সুবিধা নেই। আইআইএস অংশ নিয়ে আমার কোনও সমস্যা নেই, তবে কোনও বিশেষাধিকারের বিরুদ্ধে অ্যাকাউন্ট খতিয়ে দেখার শেষ পদক্ষেপ এমন একটি বিষয় যা আমি যাচাই করার জন্য সোজা উপায় খুঁজে পেতে লড়াই করছি। আমি চেকটি স্বয়ংক্রিয় করতে চাই কারণ এটি এমন কিছু যা নিয়মিত করা দরকার।

অ্যাক্সেস টোকেনগুলির অধিকার সম্পর্কিত তথ্য নেই, কেবল সুযোগ-সুবিধা সম্পর্কে।

আপনার যা করা দরকার তা হ'ল:

• আপনার অ্যাপ পুলের সাথে সম্পর্কিত আইআইএস কর্মী প্রক্রিয়াটি সন্ধান করুন। যেহেতু আপনি অ্যাপ পুলের পরিচয়টি জানেন যা কর্মী প্রক্রিয়া নামের সাথে সমস্ত প্রক্রিয়াগুলি গণনা করে এবং পরিচয় রয়েছে এমনটি ফিল্টার করে by যদি একের বেশি থাকে তবে আপনি যে কোনও ব্যবহার করতে পারেন।
• টোকেনগ্রুপ তথ্য শ্রেণীর সাথে গেটটোকেন তথ্য ব্যবহার করুন, প্রক্রিয়া টোকেনের টোকেনপ্রাইভিলিজ নয়। ফলাফল আপনাকে সমস্ত ট্রানজিটিভ গোষ্ঠীগুলির পরিচয় দেবে too এর অর্থ এমনকি পরোক্ষও।
• এখন আপনি এই গোষ্ঠীগুলির মধ্য দিয়ে লুপ করতে পারেন এবং প্রত্যেকে LsaEnumerateAccountRights কল করতে পারেন এবং তথ্যটি কল্ট করতে পারেন । এটি আপনাকে যা দেবে তা দেবে।

উপরোক্ত অ্যাকাউন্ট পরিচয়ের সাথে সম্পর্কিত প্রক্রিয়াটির (এবং টোকেন) অস্তিত্বের উপর নির্ভর করে। আপনার দৃশ্যে এটি কোনও সমস্যা হওয়া উচিত নয়। পরিস্থিতিগুলির মধ্যে যখন এটি সমস্যা হয়, আপনি টোকেন-গোষ্ঠী গণিত বৈশিষ্ট্যের জন্য অ্যাক্টিভ ডিরেক্টরি লিক্যুয়্যার চেষ্টা করতে এবং ব্যবহার করতে পারেন । এই নিবন্ধটি কীভাবে এটি বন্ধ করতে হবে তার কয়েকটি পদ্ধতির তালিকাবদ্ধ করে।