Windows SMB 权限故障

2023-01-03 09:57:27 +08:00
 MSIAM

遇到了一个关于 Windows 的 SMB 文件权限的故障。 现象为 一个文件想要删除,但是永远都会提示需要计算机管理员提供权限。 而我使用的账户是 AD 域的的管理员用户。 通过 Explorer.exe 无法进行删除后 我尝试分别使用了 LocalHost\Administrator,AD\Administrator,AD\Administrators 组中的用户启动 Powershell 。 然后我在这些终端里分别都运行了 Del,rm ,Cacls 等命令,尝试删除或者获取权限。但是均会被拒绝访问。 之后我尝试分析了一下日志,发现在安全日志中有一条对应的审核失败,内容为:

    账户登陆失败
    
    使用者:
    	安全 ID:		S-1-5-21-625346865-4013774435-1486203556-1231
	帐户名:		admin
	帐户域:		xxxxxx
	登录 ID:		0x6EE5F

	登录类型:			3

	登录失败的帐户:
	安全 ID:		NULL SID
	帐户名:		Guest
	帐户域:		FILESERVER-OP

	失败信息:
	失败原因:		帐户当前已禁用。
	状态:			0xC000006E
	子状态:		0xC0000072

	进程信息:
	调用方进程 ID:	0x1160
	调用方进程名:	C:\Windows\explorer.exe

我依据此日志,尝试启用了 Server 本机的 Guest 账户,启用后需要删除的文件直接就消失了。
未进行任何操作,这些文件直接就不存在了。

至此,问题算是临时解决。
但是我有一个疑问,为什么只有 AD 域的用户和管理员操作过的文件,在进行删除操作时会被 Server 本机的 Guest 用户限制?
或者说这是在 Windows 权限管理上的什么漏洞吗?
还是说特性?

请大佬指点一下。
1654 次点击
所在节点    Windows
12 条回复
xieqiqiang00
2023-01-03 11:42:42 +08:00
只要是管理员的话,就可以直接修改所有者啊,改成自己为所有者,再添加自己的权限,再删除不行吗
nuII
2023-01-03 11:59:27 +08:00
应该是这个文件的 owner 是 guest ,如果你是管理员,删除的时候并不是直接删除,而是类似 logon as 的方式,切换成 owner 的 userid 再删除,就像 linux 里的`su - xxx -c 'rm foo.txt'`
Tumblr
2023-01-03 12:50:38 +08:00
这个问题看得我云里雾里的(并不是 OP 的描述的原因,是问题本身我觉得有点云里雾里),看上去更像是被 guest 给锁住了,但是一般来说 AD 的安全基线里就有禁用 guest 用户一项。总之这外问题不知道为什么 guest 账户会被调用到,并且单就这一条日志来看,也没看出来和删除文件有关。。。

总之我猜测可能删的时候是因为文件 in use 了,所以才删不掉,有时候一些提示确实是很迷惑的。
MSIAM
2023-01-03 13:52:47 +08:00
@nuII 我查看过了所有者,所有者是 AD\Admin ,但是 AD\Admin 没权限更改权限。拒绝访问
MSIAM
2023-01-03 13:54:11 +08:00
@xieqiqiang00 文件的所有者是 AD\Admin ,我已经尝试过使用这三个账户执行 Cacls 命令夺取所有权了,但是全部拒绝访问。AD\Admin 修改权限也被拒绝访问
MSIAM
2023-01-03 13:55:38 +08:00
@Tumblr 就是因为这个,这个日志我看了下时间,是每次我执行删除的时候就会创建出这么一个日志。
我怀疑是不是某些用户的神奇操作把文件的读写锁锁死了。
MSIAM
2023-01-03 13:59:32 +08:00
@Tumblr 而且怎么说呢,Cacls 这个命令,连 System Volume Information 这个目录都能强行夺取权限,但是在这个文件居然被拒绝访问,我是有点懵的。而且我也没搞明白为什么一个删除操作,需要用 AD\Admin 使用 Local\Guest 身份来调取 Explorer.exe 进行。
MSIAM
2023-01-03 14:00:48 +08:00
@Tumblr 最离谱的问题是,我一解锁 Local\Guest 这个用户,这个文件立刻消失。
Tumblr
2023-01-03 15:11:50 +08:00
@MSIAM #7 是的,所以我也觉得这个问题好懵的,我看到你有说用 icacls 了,如果夺不了那大概率是被锁死了,但是如何发生的就又是个迷~ 不纠结了,这种问题估计几年难得遇到一次,能搞定了就算完事了~~
MSIAM
2023-01-03 15:42:05 +08:00
@Tumblr 我觉得这个问题最神奇的是这个文件的消失,一启用 Guest 账户,这个文件就消失了。甚至我都没来得及检查。启用完账户之后等到我去看的时候,已经提示文件不存在了。
SgtPepper
2023-01-04 09:13:19 +08:00
要么你 guest 账户之前开启过创建了这个文件
MSIAM
2023-01-04 10:28:39 +08:00
@SgtPepper 文件的所有者是 AD\Admin 而不是 Guest 更不可能是 Local\Guest

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/906170

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX