NTFS 폴더와 AD 개체 모두 보안 설명자와 DACL을 사용하여 사용자/프로세스 액세스를 확인한다는 것을 이해합니다. MS Learn - 액세스 확인 작동 방식
그러나 액세스 확인은 중첩된 AD 그룹에 대한 ACE를 어떻게 확인합니까? 예를 들어:
- AD 그룹
AD-Parent에 수정 권한이 부여되었습니다.F:\Restrict - AD 그룹
AD-VIPs은 다음의 하위 그룹입니다.AD-Parent - 사용자는
vip다음의 회원입니다:AD-VIPs
내 이해는
vip보안 설명자에는 다음을 참조하는 ACE가 있습니다AD-VIPs.F:RestrictDACL에는 다음을 참조하는 ACE가 있습니다.AD-Parent
Windows의 어떤 프로세스가 'vip -> AD-VIP -> AD-Parent' 체인을 찾고 액세스 권한을 부여하는 방법은 무엇입니까?
답변1
로그온/인증/권한 확인 중에보안그룹 멤버십은 Kerberos 토큰의 PAC(Privilege Access Certificate) 부분에 추가됩니다. 여기에는 중첩된 그룹이 포함됩니다.
폴더에 액세스하면 리소스가 있는 호스트(이 경우 파일 서버)는 ACL의 SecurityIdentifier를 Kerberos 토큰의 PAC에 있는 SecurityIdentifier와 비교합니다. 일치하는 항목이 있으면 액세스가 허용됩니다.
https://learn.microsoft.com/en-us/windows/win32/adschema/a-tokengroups
"특정 사용자 또는 컴퓨터의 전이적 그룹 구성원 자격 확장 작업으로 인해 SID 목록을 포함하는 계산된 특성입니다. 전이적 역방향 구성원을 검색하기 위한 글로벌 카탈로그가 없으면 토큰 그룹을 검색할 수 없습니다."
답변2
귀하가 제공한 링크부터 시작해 보겠습니다(강조).
시스템은 각 ACE의 수탁자를 스레드의 액세스 토큰에서 식별된 수탁자와 비교합니다.액세스 토큰에는 사용자와 해당 사용자가 속한 그룹 계정을 식별하는 SID(보안 식별자)가 포함되어 있습니다.
실제로 "사용자가 속한 그룹 계정"은 사용자가 로그인할 때 받은 Kerberos 티켓에서 가져옵니다. 티켓에는 그룹이 중첩되어 있는지 여부에 관계없이 사용자가 속한 모든 그룹의 SID가 포함되어 있습니다. 다른 그룹 내에서든 아니든.
구체적으로 귀하의 질문에 대답하려면 다음을 수행하십시오.
Windows의 어떤 프로세스가 'vip -> AD-VIP -> AD-Parent' 체인을 찾고 액세스 권한을 부여하는 방법은 무엇입니까?
이 작업은 TGT(티켓 부여 티켓)를 생성할 때(일반적으로 사용자가 로그인할 때) 도메인 컨트롤러에 의해 수행됩니다. TGT에는 사용자가 속한 모든 그룹의 SID가 포함되어 있습니다.
실험을 통해 그 내용을 조금 확인할 수 있습니다.프로세스 탐색기: 프로세스 탐색기를 시작하고 도메인 사용자가 시작한 프로세스(예: notepad.exe)를 두 번 클릭한 후 보안 탭을 클릭하면 그룹이 중첩되어 있어도 여기에서 그룹 멤버십을 볼 수 있습니다.
