É possível alterar manualmente o SID de uma conta de usuário local?
2
Digamos, por uma questão de argumento, que desejo alterar o SID de uma conta de usuário local do Windows para uma que apareça em algum domínio hipotético do Active Directory. Isso é possível? Se sim, como?
PS: Na verdade, não preciso saber como ... tudo o que me interessa é que isso é comprovadamente possível e que teoricamente algum usuário mal-intencionado na rede poderia fazer isso ... e quanta habilidade eles precisariam.
É tecnicamente possível fazer isso, editando o banco de dados SAM (abaixo HKEY_LOCAL_MACHINE\Securityno Registro), mas requer a compreensão dos formatos binários usados lá. Existem ferramentas que fazem isso , como o NewSid - apesar de geralmente fazer o oposto do que você está procurando, mas mesmo assim foi capaz de alterar o SID da máquina e os SIDs do usuário, em todo o computador. A página do NewSid possui algumas informações sobre como isso é feito.
No entanto, não vai conseguir muito. O SID é usado apenas localmente. Não importa qual SID você possui; não lhe dará acesso a nenhum recurso de rede adicional. (Isto é semelhante ao dos argumentos dados por SysInternals quando interrompido o utilitário NewSid - seria criar um SID nova máquina, se você tinha clonado máquinas com SID idênticos, mas foi explicado que ter SID máquina idêntica, e SID do usuário, portanto, idênticas, tem efeito nulo na segurança da rede. )
Para autenticação de rede, o Active Directory usa Kerberos e, às vezes, o NTLM (agora descontinuado) , os quais autenticam os usuários usando suas senhas ou credenciais semelhantes.
Deus sabe o que aconteceria se você tentasse alterar o SID da máquina local para ser o mesmo que o SID do domínio. Você poderia esperar que todo tipo de coisa desse errado. Como você diz, no entanto, não lhe daria nenhum privilégio especial no domínio.
Harry Johnston
Nos casos de uso alternativo, a alteração do SID de uma conta local pode ser potencialmente útil, como ao usar um cluster de failover com armazenamento local e contas locais. Se houver ACLs específicas da conta local no armazenamento compartilhado e não for possível adicionar as ACLs à conta local do segundo nó do cluster, por exemplo, se o serviço / aplicativo do cluster de failover criar novos arquivos com uma ACL não herdada.
Muh Fugen
@ MuhFugen: Se você possui um cluster de failover, normalmente não teria também o AD?
grawity
Sim? Eu estava me referindo a contas locais.
Muh Fugen
1
Você não pode o S egurança ID endtifier é construído baseado fora de variáveis de ambiente no momento da criação. Eles são únicos e não podem ser gravados.
O SID de uma conta ou grupo criado em um domínio de uma empresa nunca corresponde ao SID de uma conta ou grupo criado em outro domínio da mesma empresa.
Eu suspeitaria que, se você conseguisse fazê-lo, o domínio o veria como uma espécie de estranheza e negaria acesso ou faria outras coisas estranhas.
Era exatamente o que eu esperava ouvir. Meu empresário só precisa de ouvir isso de alguém que não me como ele acha que isso pode ser alterado nenhum problema ... o que eu digo é BS: D
BenAlabaster
Eles são tecnicamente substituíveis. Isto acontece sempre que você executar Microsoft sysprep
Muh Fugen
E você pode ver SIDs duplicados em ambientes quando alguém cria imagens de um computador (ou clonou uma VM) que não tinha a função generalizada do sysprep executada anteriormente.
Você não pode o S egurança ID endtifier é construído baseado fora de variáveis de ambiente no momento da criação. Eles são únicos e não podem ser gravados.
Se você precisar de mais informação:
Eu suspeitaria que, se você conseguisse fazê-lo, o domínio o veria como uma espécie de estranheza e negaria acesso ou faria outras coisas estranhas.
fonte