Включение/отключение SID History
12.01.2011
itpro
Active Directory
Один комментарий
Немало уже копий сломал и бессонных ночей провел, осуществляя миграции при помощи утилиты Active Directory Migration Tools (ADMT), однако наибольшие затруднения у меня вызывали проблемы использования SID history при миграциях в разные домены. Этот пост – небольшая заметка для самого себя о том, как работает SID History.
Что такое SID History
SID History – это атрибут объекта в Active Directory, который хранит старый Security IDentifier(SID), наиболее часто применяется при различного рода миграций. Итак, представьте ситуацию: у вас есть два домена старый и новый, и вам нужно переместить пользователей в новый домен, но так, чтобы новые учетки в новом домене сохранили доступ к их старым папкам и файлам. Это необходимо для того, чтобы уменьшить трудоемкость и «нервозность» процесса миграции, чтобы администратору не пришлось переназначать разрешения на сетевые шары, папки, приложения и т.д. Чтобы иметь возможность использовать SID history, вам необходимо отключить фильтрацию SID (SID Filtering ) и активировать SID History и доверительные отношения между двумя доменами.
Чтобы включить «SID History on a trust», воспользуйтесь следующей командой:
netdom trust winitpro.ru /domain:microsoft.com /enableSIDhistory:yes
Что такое SID Filtering
SID Filtering — эта мера безопасности, которая призвана защитить ваше новое окружение от потенциального злоумышленника, который может проникнуть из старого домена. Хотя вы можете подумать, что старый домен после миграции не несет угрозы, так как не нужен, я, учитывая мой опыт миграций, могу сказать, что в большинстве случаев старый домен остается активным еще некоторый (иногда длительный) период времени, но вся административная работа с ним (установка обновлений и патчей, управление доступом и анализ логов) сводится к минимальному набору работ или не ведется совсе. Это и создает потенциально небезопасную среду, уязвимостями в которой может воспользоваться злоумышленник и проникнуть в старый домен.
Именно по этой причине SID Filtering – это неплохая, но не обязательная функция, которая полностью блокирует использование SID History, которая так важна при осуществлении миграции. Следующая команда позволяет отключить SID Filtering:
Netdom trust winitpro.ru /domain: microsoft.com /quarantine:No /userD: winitpro_admin /passwordD: adminpa$$
Предыдущая статья Следующая статья 
Работа с AD: Поиск по атрибуту SIDHistory
Предлагаю Вашему вниманию мой метод работы с атрибутом Active Directory sIDHistory. А именно — будем производить поиск объекта по этому атрибуту.
Но вначале поговорим о самом атрибуте. sIDHistory служит для создания соответствия объектов в Active Directory, необходим он, например, при миграции учетных записей и групп из одного домена/леса в другой.
Что нам это дает? А дает это нам возможность не переназначать права на ресурсы, а оставить их «как есть».
Пример: в домене A.local есть группа A-G1, в нее входит пользователь A-U1.
Мы имеем файловый ресурс \\server01\share на который назначен доступ группе A-G1
Случилось так, что мы мигрировали в домен B.local, создали там пользователя B-U1 и прописали ему атрибут sIDHistory от пользователя A\A-U1
Теперь пользователь B\B-U1 без каких-либо дополнительных действий может входить на \\server01\share
Предположим, что пользователей у нас мигрировало 5000, некоторые из них могли полностью переименоваться, а sIDHistory выглядит как куча непонятных для администратора цифр. Найти какому пользователю в домене A соответствует пользователь из домена B просто становиться невозможно.
Скрипт на Powershell, с использованием QUESTовских коммандлетов, который выведет все объекты указанному атрибуту.
Русские Блоги
У каждого пользователя есть свой SID. Роль SID — это в основном доступ к принципу безопасности для управления ресурсом подключения пользователя. История SID является атрибутом, который необходимо использовать во время миграции домена.
Если пользователи домена в домене мигрируют до домена B, значение SID пользователя изменится, и разрешения также будут изменяться. Миграционные пользователи не могут получить доступ к ресурсам, которые вы можете получить доступ. Роль Истории SID состоит в том, чтобы поддерживать права доступа пользователей домена во время миграции домена. Если значение SID пользователя изменяется, система будет добавлять исходный SID в свойство истории SID пользователя после миграции, так что миграция Поддерживается в оригинале с разрешениями, вы можете получить доступ к ресурсам, которые вы можете получить доступ. Использование Mimikatz может добавить свойство истории SID в свойство SID-истории любого пользователя. В тесте проникновения привилегии администратора домена (или эквивалентные привилегии администратора домена), история SID может использоваться в качестве метода реализации сохранения.
Во-вторых, экспериментальная операция
Добавьте SID администратора в свойство истории SID нормального пользователя Normal Domain, используйте PowerShell, чтобы просмотреть больницу SID пользователя.
Сначала посмотрите свойство SID-истории пользователя MIR067 пользователя, вы можете увидеть текущее значение NULL.
Get-ADUser micr067 -Properties sidhistory
Откройте окно командной строки с привилегиями администратора домена, откройте Mimikatz, добавьте SID администратора в свойство истории SID пользователя MIR067. Следует отметить, что перед инъекцией SID с использованием Mimikatz необходимо использовать команду «SID: Patch», чтобы восстановить службу NTDS, отвечаю за инъекцию высоких разрешений SID в свойство SID-истории низкого права; Mimikatz Будет Разное :: AddSid после версии 2.1 Модуль передается в модуль SID :: Добавить.
sid::add /sam:micr067 /new:administrator
SID :: Query / SAM: пользователь # Посмотреть информацию о пользователе, например: SID
SID :: Patch # Ремонт обслуживания NTDS
SID :: Добавить / sam: user / new: s-1-5-21-1150252187-165040425-3011793806-500 # Rid 500 аккаунт администратора домена
SID :: Clear / Sam: Micr067 # Clear Sid История
Используйте PowerShell для просмотра SID-истории пользователей Micr067, вы можете увидеть значение истории SID уже является SID пользователя администратора из RID 500.
Переключите систему входа в систему пользователя MIR067, вы видите, что у пользователя есть администратор, который может перечислить файлы в диске ConconeMent Controller C.
Очистить свойство истории Сида
Особенности домена истории SID следующие:
1. После контроллера домена вы можете завершить задачу настойчивости, введя свойство истории SID.
2. Пользователи, имеющие это разрешение, могут использовать PowerShell Dimotely Export NTDS.dit контроллера домена.
Меры защиты в задней части домена истории SID следующие:
1. Часто проверяйте пользователей SID пользователей домена для отслеживания поведения этих пользователей.
2. После завершения миграции домена пользователи с одинаковой проверкой имущества SID History.
3. Регулярно проверяйте журнал ID 4765 и 4766, 4765, чтобы добавить свойство истории SID в журнал пользователя; 4766, чтобы добавить свойство SID History в неудачный журнал пользователя.
SID History
SID History is an attribute in Active Directory (AD) that provides backward compatibility when a resource in the previous domain hasn’t had its permissions changed. Several checklist for Active Directory migration tools state that when objects are migrated from other domains, SID History is written. It makes it possible for old Access Control List (ACL) items to continue after migration.
To assist businesses in upgrading from Windows NT 4.0 to Active Directory, SID History was first included in Windows Server 2000. And it certainly sped it up and simplified migrations.
SIDs ensure that each security principal is unique inside an Active Directory domain. Reusing them exposes systems that rely on SID-based ACLs at risk of having illegal access.
Many businesses decide they wish to maintain the extra set of keys.
They declare that migration is over. Just preserve the SID History, I say. We won’t be changing the keys on our source AD. With the old key, we now have two keys that match.
The issue is that, like in the case mentioned above, the prior owner may return and break into the new home using the spare key. Alternately, a SID History injection might be carried out using mimikatz or a similar tool to allow impersonation of any users or groups, including Enterprise Admins. This type of manipulation may provide people better access to neighbourhood resources.
Microsoft Active Directory Migration Tool (ADMT—currently version 2.0) uses the ClonePrincipal API to add the old SID to the SID History attribute of the new SID. You can download ADMT for free from the Microsoft Web site at http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp.
So, that’s all in this blog. I will meet you soon with next stuff .Have a nice day .