|
大家都知道,用户访问共享文件夹等时并不是根据用户名来断定其访问权限,而是根据一个叫SID的东西来判断用户最终的访问权限,SID---安全标识符,任意一个域用户的SID号是由域的ID+用户的ID号共同组成,如下所示: S-1-5-21-3698344474-843673033-3679835876-500其中这三段数字是域的ID号,后面的ID500是用户的,在这里就是管理员的ID号。 那么这个ID号是由谁分发的呢?其实是由一个叫RID操作主机的服务器来负责分发的。关于操作主机的知识各位可以在本站里去找。 下面我说几个可以查看SID号的命令:
(1)whoami /user
查看当前用户的SID
(2)whoami /all
查看当前用户的SID及所属组的SID。
(3)getsid \\dc1 jam \\dc2
jam
查看指定用户的SID。这个工具需要安装03的支持工具方可使用。
(4)psgetsid tom
(第三方工具,需要下载)
(5)利用dsget
user来完成,如下图所示:
 注意这条命令的使用,必须写用户的DN名,有关这个名字的含义,各位可以查阅《活动目录系列之一:基本概念》篇。 (6)ldp 可以查看某个域分区下的所有用户的SID号。具体操作:
运行ldp后,连接服务器,bind用户身份,view--tree后,查看domain分区,然后双击某一对象。
共计三步操作:如下图所示:
第一步:运行LDP后:
  第二步:再次单击connection--Bind,输入管理员信息,如下图:
  第三步:再次单击View-Tree,选择相应目录分区,如下图所示:
  单击确定后,如下图所示,展开相应的子项,选择相应的用户,如管理员,双击后,在右面就能看该用户所有属性,包括SID。
 有关LDP.exe和getsid.exe这两个工具,各位可以到03光盘的这个目录下找到support工具包,并安装上。如下图光盘目录: 至于psgetsid.exe文件,各位可以从附件下载。 注:该文件下载后,改名为psgetsid.exe,放到%windir%\system32下即可直接使用。 (7)在域环境下,在DC上注册acctinfo.dll动态链接库,为用户增加有关SID等信息的属性。注册命令:regsvr32 acctinfo.dll (该dll文件在Windows Resource Kit Tools内存在,可以到微软网站上下载并安装之),当注册成功后,可以打开dsa.msc,双击一个用户,如下图所示: 当然在这个属性段里,我们还可以看到很多实用的值,如该用户曾经登录的次数等。 其实,明白了多种查看SID的方法后,更大的收获应该是从不同方法中我们得到了更多其它方面的知识,希望这篇文档能带给你更多的遐想。 后记:最后这种方法,也是得益于另一位博友的http://beacon.blog.51cto.com/442731/116217,各位可以参考。 没有想到,在我写之前这位朋友已经写了一篇,呵呵~帖出来和各位共享。 本文出自 “千山岛主之微软技术空间站” 博客,请务必保留此出处http://jary3000.blog.51cto.com/610705/123432 |
|
|
