特定のユーザーが特定の特権を持っていることを確認します

ユーザーと特権のペアが与えられた場合、ユーザーがサーバーに対する特権を持っているかどうかを判断する必要があります。私のセットアップでは次のことが当てはまります。

• サーバーはドメインの一部ですが、ドメインコントローラーではありません
• インフラストラクチャに信頼関係を持つドメインがいくつかあります
• ユーザー（ローカル、ドメイン、または別のドメイン）は、グループに直接所属するのではなく、ローカルグループに属する他のグループ（ドメインまたはローカル）にいるというメリットにより、ローカルグループに所属できる場合があります。

最後のポイントのシナリオ例：

• User1はDomainAのグループTeamAに属します
• DomaimA \ TeamAはDomainB \ SpecialAccessのメンバーです
• DomainB \ SpecialAccessはDomainB \ DomainAdminsのメンバーです
• 最後に、DomainB \ DomainAdminsはローカル管理者グループに属します
• ローカル管理者グループにはSeRemoteInteractiveLogonRight特権があります

入力DomainA \ User1およびSeRemoteInteractiveLogonRightにある場合、はいまたはいいえの回答に到達する必要があります。そのため、マシンでローカルポリシーを開き、興味のある権利に対してどのグループがリストされているかに注意し、サーバーマネージャーに移動してグループメンバーの内容を確認し、これらのグループのグループのメンバーを確認する必要があります等々。

私はそれが簡単になることができるという直感を持っています。AccessChkユーティリティを見つけたとき、私は本当に興奮しました。それは3分間続き、直接関係をリストするだけであるため、グループ内のユーザーはリストされません。

今、私はユーザーがAccessChkが返すグループのいずれかに属しているかどうかを確認できるように、AccessChkからの結果を何らかの方法で組み合わせることができると推測していますが、それは単一のドメインではなく、それらのいくつかですこれにアプローチする方法がわからない。また、AccessChkの出力はグループとユーザーを区別していないようです。

編集：XY問題トラップに陥らないという精神で、IISアプリケーションプールIDとして使用される特定のユーザーアカウントがサーバーグループでSeInteractiveLogonRightまたはSeRemoteInteractiveLogonRight特権を持たないようにする必要があります。IISの部分には問題はありませんが、特権に対してアカウントをチェックする最後のステップは、簡単なチェック方法を見つけるのに苦労しています。これも定期的に行う必要があるため、チェックを自動化したいと思います。

アクセストークンには、権限に関する情報のみが含まれ、権限に関する情報のみが含まれます。

あなたがする必要があるのはこれです：

• アプリプールに対応するIISワーカープロセスを見つけます。すべてのプロセスをワーカープロセス名で列挙し、IDを持つプロセスをフィルター処理することで簡単にできるアプリプールIDを知っているためです。複数ある場合は、どれでも使用できます。
• プロセストークンのTokenPrivilegeではなく、TokenGroup情報クラスでGetTokenInformationを使用します。その結果、IDが属するすべての推移的グループも提供されます。これは間接的なものでさえも意味します。
• これで、これらのグループをループし、各グループでLsaEnumerateAccountRightsを呼び出して、情報を照合できます。これにより、必要なものが得られます。

上記は、アカウントIDに対応するプロセス（およびトークン）の存在に依存しています。シナリオでは、これは問題になりません。これが問題となるシナリオでは、Token-Groups計算属性の Active Directoryルックアップを試して使用できます。この記事では、これを実現する方法をいくつか紹介します。