V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
MSIAM
V2EX  ›  Windows

Windows SMB 权限故障

  •  
  •   MSIAM · 2023-01-03 09:57:27 +08:00 · 1787 次点击
    这是一个创建于 719 天前的主题,其中的信息可能已经有所发展或是发生改变。

    遇到了一个关于 Windows 的 SMB 文件权限的故障。 现象为 一个文件想要删除,但是永远都会提示需要计算机管理员提供权限。 而我使用的账户是 AD 域的的管理员用户。 通过 Explorer.exe 无法进行删除后 我尝试分别使用了 LocalHost\Administrator,AD\Administrator,AD\Administrators 组中的用户启动 Powershell 。 然后我在这些终端里分别都运行了 Del,rm ,Cacls 等命令,尝试删除或者获取权限。但是均会被拒绝访问。 之后我尝试分析了一下日志,发现在安全日志中有一条对应的审核失败,内容为:

        账户登陆失败
        
        使用者:
        	安全 ID:		S-1-5-21-625346865-4013774435-1486203556-1231
    	帐户名:		admin
    	帐户域:		xxxxxx
    	登录 ID:		0x6EE5F
    
    	登录类型:			3
    
    	登录失败的帐户:
    	安全 ID:		NULL SID
    	帐户名:		Guest
    	帐户域:		FILESERVER-OP
    
    	失败信息:
    	失败原因:		帐户当前已禁用。
    	状态:			0xC000006E
    	子状态:		0xC0000072
    
    	进程信息:
    	调用方进程 ID:	0x1160
    	调用方进程名:	C:\Windows\explorer.exe
    
    我依据此日志,尝试启用了 Server 本机的 Guest 账户,启用后需要删除的文件直接就消失了。
    未进行任何操作,这些文件直接就不存在了。
    
    至此,问题算是临时解决。
    但是我有一个疑问,为什么只有 AD 域的用户和管理员操作过的文件,在进行删除操作时会被 Server 本机的 Guest 用户限制?
    或者说这是在 Windows 权限管理上的什么漏洞吗?
    还是说特性?
    
    请大佬指点一下。
    
    第 1 条附言  ·  2023-01-04 10:30:34 +08:00
    查看过对应的文件所有权在 AD\Admin 手上,不在 Local\Guest 手上,而且尝试过使用 Cacls 命令夺取所有权,被拒绝访问了。对文件做任何操作都会被拒绝访问,没有尝试过使用 System 权限。
    12 条回复    2023-01-04 10:28:39 +08:00
    xieqiqiang00
        1
    xieqiqiang00  
       2023-01-03 11:42:42 +08:00
    只要是管理员的话,就可以直接修改所有者啊,改成自己为所有者,再添加自己的权限,再删除不行吗
    nuII
        2
    nuII  
       2023-01-03 11:59:27 +08:00
    应该是这个文件的 owner 是 guest ,如果你是管理员,删除的时候并不是直接删除,而是类似 logon as 的方式,切换成 owner 的 userid 再删除,就像 linux 里的`su - xxx -c 'rm foo.txt'`
    Tumblr
        3
    Tumblr  
       2023-01-03 12:50:38 +08:00
    这个问题看得我云里雾里的(并不是 OP 的描述的原因,是问题本身我觉得有点云里雾里),看上去更像是被 guest 给锁住了,但是一般来说 AD 的安全基线里就有禁用 guest 用户一项。总之这外问题不知道为什么 guest 账户会被调用到,并且单就这一条日志来看,也没看出来和删除文件有关。。。

    总之我猜测可能删的时候是因为文件 in use 了,所以才删不掉,有时候一些提示确实是很迷惑的。
    MSIAM
        4
    MSIAM  
    OP
       2023-01-03 13:52:47 +08:00
    @nuII 我查看过了所有者,所有者是 AD\Admin ,但是 AD\Admin 没权限更改权限。拒绝访问
    MSIAM
        5
    MSIAM  
    OP
       2023-01-03 13:54:11 +08:00
    @xieqiqiang00 文件的所有者是 AD\Admin ,我已经尝试过使用这三个账户执行 Cacls 命令夺取所有权了,但是全部拒绝访问。AD\Admin 修改权限也被拒绝访问
    MSIAM
        6
    MSIAM  
    OP
       2023-01-03 13:55:38 +08:00
    @Tumblr 就是因为这个,这个日志我看了下时间,是每次我执行删除的时候就会创建出这么一个日志。
    我怀疑是不是某些用户的神奇操作把文件的读写锁锁死了。
    MSIAM
        7
    MSIAM  
    OP
       2023-01-03 13:59:32 +08:00
    @Tumblr 而且怎么说呢,Cacls 这个命令,连 System Volume Information 这个目录都能强行夺取权限,但是在这个文件居然被拒绝访问,我是有点懵的。而且我也没搞明白为什么一个删除操作,需要用 AD\Admin 使用 Local\Guest 身份来调取 Explorer.exe 进行。
    MSIAM
        8
    MSIAM  
    OP
       2023-01-03 14:00:48 +08:00
    @Tumblr 最离谱的问题是,我一解锁 Local\Guest 这个用户,这个文件立刻消失。
    Tumblr
        9
    Tumblr  
       2023-01-03 15:11:50 +08:00
    @MSIAM #7 是的,所以我也觉得这个问题好懵的,我看到你有说用 icacls 了,如果夺不了那大概率是被锁死了,但是如何发生的就又是个迷~ 不纠结了,这种问题估计几年难得遇到一次,能搞定了就算完事了~~
    MSIAM
        10
    MSIAM  
    OP
       2023-01-03 15:42:05 +08:00
    @Tumblr 我觉得这个问题最神奇的是这个文件的消失,一启用 Guest 账户,这个文件就消失了。甚至我都没来得及检查。启用完账户之后等到我去看的时候,已经提示文件不存在了。
    SgtPepper
        11
    SgtPepper  
       2023-01-04 09:13:19 +08:00
    要么你 guest 账户之前开启过创建了这个文件
    MSIAM
        12
    MSIAM  
    OP
       2023-01-04 10:28:39 +08:00
    @SgtPepper 文件的所有者是 AD\Admin 而不是 Guest 更不可能是 Local\Guest
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2797 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:44 · PVG 19:44 · LAX 03:44 · JFK 06:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.