新しいローカル グループ アカウントを作成するときに SID を指定することはできますか?
情報レベル 1 (LOCALGROUP_INFO_1) を指定して、 NetLocalGroupAdd関数を使用して新しいグループを正常に作成しましたが、毎回異なる SID でグループを作成します。私が期待したこの振る舞い。
私がやりたいことは、グループ アカウントを作成するときに SID を指定することです。レベル 3 で NetLocalGroupAdd を使用することはできません。そこで、NetGroupAddを調べてみました。ただし、この関数はローカル グループではなくグローバル グループを作成します。
グループの作成中にこれを行う方法、またはグループが作成された後に目的の SID で SID を更新する方法はありますか。
あなたはそれをすることはできません。特定のマシンで生成されたSIDには、そのマシンのローカルセキュリティ機関が発行されます。(わかりました。ドメインコントローラーについて話している場合は、ドメインセキュリティ機関です)つまり、常に。の形式になり
S-1-5-21<the machine LSA SID>-<random local identifier of the user/group>ます。
これは、SIDの構造が階層的であるためです。たとえば、NT AUTHORITYのSIDであるため、下にあるすべてのSIDにNT AUTHORITYはプレフィックスが付いています。S-1-5(例:)マシンのLSANT AUTHORITY\SYSTEMはS-1-5-18、その権限の下に属していないSIDを発行することは許可されていません。これがS-1-5-21<random number generated when Windows is installed>SIDになります。
いいえ、OS が SID を提供します。同じことが、GUID などの他の識別子にも当てはまります。一般的に言えば。
移行中に SIDHistory を書き込むことができる場合や、AD で GUID に許容追加モードを使用する場合など、呼び出し元がこれらの ID を提供できる狭いクラスのシナリオがあります。しかし、一般的に言えば、自分が何をしているのか本当に理解していない限り、これらのことは嫌われます。
なぜこれが必要なのかについてのデータがあれば、別の道を提案できるかもしれません...