開始する前に、私は秘密をお知らせします:
これはドメインコントローラ上にあります。 (この質問のコンテキストと範囲内で)ローカル管理者アカウントに発生した唯一の重要な変化とローカル管理者グループが最小限であると変更されませんので、上記のステートメントが原因無関係に打たれる*
*管理者グループのSIDがメンバーアカウントに表示されない
差別化を必要とするほどの成果
私は他のサーバーのいずれかと、私はそれがDCにあるので、その背後にある理由がある賭けに喜ん上のトラブルのこの種を持っていませんでした。 *
*上記の理由と同じです。受け入れられた答えは、不一致を説明し、私の部分での監視であり、Windowsセキュリティまたはドメインコントローラのアーキテクチャ(フィーチャーを読む)ではありません。
私は、ローカル管理者であるアカウントからスクリプトが呼び出されたかどうかを確認する方法や、ローカル管理者グループ。
私はしかし、私はスクリプトを入力して、ローカルの管理者アカウントで呼び出されている場合は、私が見ることができることを知って、ローカルの管理者アカウントの名前を変更した:
(New-Object System.Security.Principal.NTAccount('reserved')).Translate([System.Security.Principal.SecurityIdentifier]).Value
とSIDが-500
に終了した場合、私は見ることができます。
私が呼び出しアカウントを入力して(より大きな範囲である)のAdministratorsグループの一部であるかどうかを確認するための条件を実行したときに問題が発生します。
PS> [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).Groups -match "S-1-5-32-544")
PS> False
だったアカウントかを確認するには簡単なチェック使用:
PS> $env:username
PS> reserved
または不必要に複雑な方法(私は時々それを好むが):
PS> Write-Host ((Get-WmiObject Win32_Account | ?{$_.SID.Substring($_.SID.Length-4,4) -eq '-500'}).Caption).Split("\",2)[1] -fore GREEN
PS> reserved
と私もタイプ:
PS> net user reserved
それは私Local Group Memberships *Administrators
を伝えます。
私はADUC(dsa.msc
)をプルアップし、Builtin
のコンテナを見て、Administratorsグループをダブルクリックします。私はMembersタグとloを選択して、実際にはreserved
がメンバーです!
ので、要約:
net user reserved
を入力して、私はそれを確認することができた私はADUCで見て、予約を確認し、ローカル管理者グループの一部であったメンバーでした組み込み管理者グループの
私は、SIDがで始まることを確認して、実際にローカル管理者アカウントであることを保証しましたで終了し、
...-500
で終了しました。これをさらに進めるには、と入力して、SIDがActive Directoryグループ "Administrators"と一致することを確認しました。私は
Get-ADGroupMember -Identity "Administrators"
とタイプし、reserved
がリストされていることを確認しました(それはSIDが一致していました!)。既知のAdministratorsグループSIDが(現在のWindows IDを取得して)そのアカウントのグループに見つかったかどうかを確認すると、そうではないと表示されます。
何が得られますか?
実際にローカル管理者グループのメンバであるが、そのアカウントのグループにSIDが見つからないという兆候が出るのはなぜですか?
'[Security.Principal.WindowsIdentity] :: GetCurrent()'と '[Security.Principal.WindowsIdentity] :: GetCurrent()。Groups'の値があなたの考えであることを確認しましたか? –
@AnsgarWiechersそれは '[bool]([System.Security.Principal.WindowsIdentity] :: GetCurrent())。Groups -match" S-1-5-32-544 ")'を実行したときに起こったことです。これは、現在のウィンドウのID(予約済み)を検索し、グループSIDを検索し、管理者(S-1-5-32-544)の既知のSIDが見つかったかどうかを確認していました。それは 'false'を返しました。 – Rincewind