Diberikan sepasang pengguna dan hak istimewa, saya perlu menentukan apakah pengguna memiliki hak istimewa di server. Berikut ini benar dalam pengaturan saya:
- Server adalah bagian dari domain tetapi bukan pengontrol domain
- Ada beberapa domain dengan hubungan kepercayaan dalam infrastruktur
- Kadang-kadang pengguna (lokal, domain, atau dari domain yang berbeda) dapat menjadi milik grup lokal dengan kemampuan mereka berada di beberapa grup lain (domain atau lokal) yang milik grup lokal, sebagai lawan dari milik grup secara langsung.
Skenario contoh untuk poin terakhir:
- User1 milik grup TeamA di DomainA
- DomaimA \ TeamA adalah anggota DomainB \ SpecialAccess
- DomainB \ SpecialAccess adalah anggota DomainB \ DomainAdmins
- Akhirnya DomainB \ DomainAdmins milik grup Administator lokal
- Grup Administrator Lokal memiliki hak istimewa SeRemoteInteractiveLogonRight
Sekarang Jika saya memiliki pada input DomainA \ User1 dan SeRemoteInteractiveLogonRight saya harus sampai pada jawaban Ya atau Tidak. Jadi saya membuka Kebijakan Lokal di mesin, perhatikan grup apa yang terdaftar dengan hak saya juga tertarik lalu pergi ke manajer server dan melihat apa yang ada di anggota grup dan kemudian saya perlu melihat apa anggota grup mana pun dalam grup ini dan seterusnya.
Saya punya firasat bahwa itu bisa lebih mudah. Saya sangat senang ketika saya menemukan utilitas AccessChk. Ini berlangsung selama tiga menit yang membuat saya menyadari bahwa itu hanya mendaftar hubungan langsung, sehingga pengguna dalam grup tidak akan terdaftar.
Sekarang saya menduga bahwa akan mungkin untuk menggabungkan hasil dari AccessChk beberapa cara sehingga saya dapat memeriksa apakah pengguna milik salah satu kelompok yang kembali AccessChk, tetapi mengingat bahwa itu bukan domain tunggal tetapi beberapa dari mereka saya tidak yakin bagaimana mendekati ini. Output AccessChk juga tampaknya tidak membedakan antara grup dan pengguna.
EDIT : Dengan semangat tidak jatuh ke dalam jebakan masalah XY, apa yang benar-benar perlu saya lakukan adalah memastikan bahwa pada sekelompok server tidak ada akun pengguna spesifik yang digunakan sebagai identitas kumpulan aplikasi IIS memiliki hak SeInteractiveLogonRight atau SeRemoteInteractiveLogonRight. Saya tidak punya masalah dengan bagian IIS, tetapi langkah terakhir memeriksa akun yang menentang hak istimewa adalah sesuatu yang saya perjuangkan menemukan cara mudah untuk memeriksa. Saya juga ingin mengotomatiskan cek karena ini adalah sesuatu yang perlu dilakukan secara teratur.