距離老王上次發(fā)布共享權(quán)限遷移系列文章已經(jīng)過去將近一年了，當時寫的文件服務(wù)器遷移系列文章，看似完美，但其實對于老王來說我只能給自己打80分，為什么呢，因為最后在測試SID Filtering的時候我沒做出來效果，在心里始終是個遺憾，一直想把這個遺憾給補上，后來給補上了，SID Filtering是一項過濾SID歷史的隔離技術(shù)，防止惡意用戶將SID歷史帶到新的林環(huán)境。實際測試驗證得出兩個結(jié)論，

創(chuàng)新互聯(lián)服務(wù)項目包括遂寧網(wǎng)站建設(shè)、遂寧網(wǎng)站制作、遂寧網(wǎng)頁制作以及遂寧網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，遂寧網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到遂寧省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

   1.默認情況SID Filtering會啟動在外部信任林環(huán)境。測試步驟：A域控屬于contoso林，B域控屬于apm林，建立外部信任關(guān)系，A林內(nèi)有一臺03文件服務(wù)器，設(shè)置了A域用戶Stat對于共享文件夾具備Full Control權(quán)限，遷移Stat用戶到APM林中的B域控，使用ADMT進行遷移，注意遷移的時候有一個是否要遷移SID記錄的勾，要勾選上，不然看不出效果。遷移完成之后可以看到Stat用戶在APM林中，用戶已經(jīng)帶有SID歷史。測試結(jié)果，雖然SID歷史已遷移，但是APM林的Stat并不能訪問Contoso林原來的共享文件夾，按照林內(nèi)遷移來說，這時Stat應(yīng)該是可以訪問原來的共享文件夾的，因為SID歷史帶過去了。但是在外部信任林間環(huán)境明顯默認是不行的。雖然ADMT遷移時勾選了遷移SID記錄，遷移過來用戶也具備SID歷史，但就是不能訪問原來可以訪問的文件夾，這就說明SID filtering生效了，并且默認啟用了起來。

  什么是SID filtering呢，簡單來說，就是防止遷移域用戶的時候把惡意用戶的SID歷史傳遞過去，進而利用通訊組完成提權(quán)。By Default，微軟認為外部信任是相對來說較為不安全，或者說較為不被信任的，從信任傳遞就能看出來，外部信任不能傳遞信任，林信任支持上下傳遞，不能東西傳遞。之前那次老王測試的時候也使用了外部信任的環(huán)境，但是就沒有效果，SID Filtering沒生效。

  現(xiàn)在明白了，我當時是把文件服務(wù)器也一起遷移到APM林了，簡單來說就是資源和賬戶都在目標林了，然后我用遷移過來的賬戶做測試，同林同域內(nèi)的訪問，估計SID filtering就壓根沒起到效果，這次我把文件服務(wù)器遷移回源林了，資源在源林，賬戶到目標林，這時賬戶再訪問跨林資源，SID filtering檢測，不是在林內(nèi)域內(nèi)發(fā)生的訪問了，于是SID filtering生效，是by default的生效。

  實際測試得出結(jié)論，默認情況下，啟用sid filtering的只有外部信任環(huán)境，SID filtering要實現(xiàn)效果，資源和賬戶必須不處于同一域內(nèi)。實際測試。林級別2003以上，可以針對父子信任，樹根信任，林信任啟用 SID filtering。

  2.默認情況下外部信任啟用SID filtering，這很好，凡是從外部信任林遷移過來的用戶，我都不接受你的SID歷史了，但是如何能重新接受SID歷史呢，外部信任如何關(guān)閉SID filtering，和其它信任一樣，接受SID歷史的傳遞訪問呢，老王當時測試了一個下午，都快測試麻木了，嘗試了各種各樣的外國辦法，修改組策略，改注冊表，替換netdom文件，都不能解決問題，看了很多外國大師的文章，發(fā)現(xiàn)和我的操作步驟都一致，后來看到了一篇德國文章，上面就很奇怪了，那個德國人的執(zhí)行命令有個參數(shù)和其它人都不一樣，我猜也許會是系統(tǒng)語言的問題，后來也有波蘭人個人提到說德國環(huán)境下執(zhí)行命令執(zhí)行不了，換英文語言包就好了，后來我也死馬當活馬醫(yī)，下了個英文語言包，一裝，直接就好了。。。同樣的一個命令，中文環(huán)境下執(zhí)行了100次也不行，打個英文語言包立馬就好，后來在中文版technet論壇上面反饋，很遺憾未得到微軟中國的回應(yīng)

我的環(huán)境下兩個林環(huán)境，分別由兩臺2008R2中文標準版域控承載，我創(chuàng)建了外部信任

默認情況下Sid Filtering已經(jīng)生效

在我嘗試運行禁用SID Filtering命令的時候，2008R2中文版上面命令執(zhí)行效果如下

一個命令，三個不同參數(shù)，卻得到了同樣的回復(fù)

已為此信任啟用 SID 篩選功能。身份驗證期間返回的授權(quán)數(shù)據(jù)
將只接受來自受信域的 SID。

其他域的 SID 將被刪除。

當我給系統(tǒng)打上英文語言包，顯示語言改為英文，再次執(zhí)行同樣的命令，即可得到正確的回復(fù)，也可以看到效果

technet論壇發(fā)帖：https://social.technet.microsoft.com/Forums/zh-CN/e3e53a02-efd9-42cd-8a08-f8484ee9c418/2008r2-sid-filteringbug?forum=windowsserversystemzhchs

SID Filtering學(xué)習資料

https://morgansimonsen.com/2012/01/27/some-sid-filtering-notes/

https://blog.thesysadmins.co.uk/admt-series-3-sid-history.html

  SID History 和 SID Filtering這兩個東西呢，各有各的應(yīng)用場景，設(shè)計目的都是好的，如果遷移過去的用戶希望能夠訪問之前的文件，ADMT保留SID記錄就好了，如果處于安全考慮，希望遷移過去的用戶，不再能訪問原來的文件夾，只要針對信任關(guān)系啟用SID filtering就可以

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)頁標題：SIDFiltering中文版bug-創(chuàng)新互聯(lián)
本文網(wǎng)址：http://m.newbst.com/article4/dcipie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、靜態(tài)網(wǎng)站、網(wǎng)站設(shè)計公司、外貿(mào)建站、建站公司、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)