0
我在Windows Server 2008 R2(網絡上唯一的域控制器)上給了標準用戶「Joe」SeImpersonatePrivilege。 Joe不是任何管理員組的成員;當Joe啓動一個進程時,它會在中等完整性級別運行。SempersonatePrivilege和標準用戶
當管理員運行我看到這部分房源在服務器上的「Gpresult的/ Z」:當喬運行使用GetTokenInformation和LookupPrivilegeName顯示Joe的特權它產生對這些結果的程序
User Rights
-----------
GPO: Default Domain Controllers Policy
Policy: ImpersonatePrivilege
Computer Setting: Administrators
Joe
LOCAL SERVICE
NETWORK SERVICE
SERVICE
然而服務器:
Integrity level : Medium Process
SeShutdownPrivilege
SeChangeNotifyPrivilege
SeUndockPrivilege
SeIncreaseWorkingSetPrivilege
SeTimeZonePrivilege
Press any key to continue
而這些在工作站上:
Integrity level : Medium Process
SeChangeNotifyPrivilege
SeIncreaseWorkingSetPrivilege
Press any key to continue
我想知道在運行中等進程時Joe是否有可能擁有SeImpersontatePrivilege,如果可以的話,如何實現。我的目標是讓Joe在「Impersonate」級別模擬其他用戶,而不是使用Get/AcceptSecurityContext在「工作站」或服務器上運行的「Identify」。我會很感激任何有關該主題背景閱讀的建議。
Joe正在獲取拆分令牌,請參閱[此超前用戶的早期回答](http://superuser.com/a/610253/96662)。不幸的是,在這種情況下GUI不能很好地應對,我不知道有什麼非常合理的方式讓Joe用模擬特權運行這個過程。你可以通過編程的方式來實現[如此處所述](http://stackoverflow.com/a/39403260/886887),但你需要用戶名和密碼。 –
另一方面,首先做這件事不是一件非常明智的事情;有一個*理由*特權正在被審查。你沒有多說你的情況,但正確的解決方案可能是重新設計,以便需要模擬的代碼位於系統服務中。 (該服務不需要以管理員權限運行; UAC不適用於服務。) –
(順便說一句,您是否從服務器獲得了特權列表,以及來自工作站的權限列表是否混合了?Joe應該在工作站上擁有更多的權限,而不是更少。) –