如何在创建本地组帐户时指定帐户SID?
[英]How do I specify the account SID when creating a local group account?
问题描述
是否可以在创建新的本地组帐户时指定SID?
我通过指定信息级别1(LOCALGROUP_INFO_1)使用NetLocalGroupAdd函数成功创建了一个新组,但是他每次都创建一个具有不同SID的组。 这是我所期待的那种行为。
我想要做的是在创建组帐户时指定SID。 无法使用级别为3的NetLocalGroupAdd。所以我转向查看NetGroupAdd 。 但是这个函数创建了一个全局组而不是本地组。
有没有办法在创建组期间执行此操作,或者在创建组后使用所需的SID更新SID。
2 个解决方案
解决方案1
2 已采纳 2012-11-20 08:22:39
你不能这样做。 在您的特定计算机上生成的任何SID都将发出该计算机的本地安全权限。 (好吧,或者如果您正在谈论域控制器,则是域安全机构)这意味着,它将始终具有该表单
S-1-5-21<the machine LSA SID>-<random local identifier of the user/group> 。
这是因为SID的结构是分层的。 例如, NT AUTHORITY下的所有SID都有前缀S-1-5 ,因为这是NT AUTHORITY的SID。 (例如, NT AUTHORITY\\SYSTEM是S-1-5-18 )您的机器的LSA不允许发出不属于其权限的SID,这将是S-1-5-21<random number generated when Windows is installed> SID。
解决方案2
0 2012-11-20 01:58:29
不,操作系统提供SID。 GUID等其他标识符也是如此。 一般来说。
有一类很窄的场景,调用者可以提供这些ID,比如在迁移期间可以编写SIDHistory,或者如果在AD中使用GUID的许可添加模式。 但总的来说,除非你真的知道自己在做什么,否则这些事情都会受到谴责。
随着有关您为什么要这样做的更多数据,我们可以建议另一条道路......
C#如何禁用本地用户帐户的交互式登录。 与网络服务帐户类似
[英]C# How do I disable interactive login for a local user account. Similar to Network Service account
如何以编程方式确定帐户是否属于Administrators组?
[英]How to determine if an account belongs to Administrators group programmatically?
如何从Powershell访问经常账户环境变量?
[英]How do I access the current account environment variables from powershell?
Windows - Powershell - 配置“本地组策略编辑器 >... > 帐户锁定策略 > 帐户锁定阈值 > 无效登录尝试”
[英]Windows - Powershell - Configure "Local Group Policy Editor > ... > Account Lockout Policy > Account lockout threshold > invalid logon attempts"
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.