Что означает группа псевдонимов в контексте SID?

Читая https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/groupmapping.html, я обнаружил, что существует псевдоним для групп. Но что означает этот псевдоним? Означает ли это, что он подключен к другой группе и наследует эти разрешения? Если так, как я мог узнать, к какой группе он принадлежит?

Я посмотрел в интернете, но ничего не смог найти по этому поводу. Есть много о SID, RID в Интернете, но ничего об псевдонимах. Что это значит в контексте SID?

SID существуют в доменах Active Directory (Windows Server) и Samba (PDC).

1 ответ

Решение

Microsoft задокументировала большую часть этого в [MS-SAMR].

Вот некоторые определения из этого документа:

account: пользователь (включая учетную запись компьютера), группа или псевдоним объекта. Также синоним участника безопасности или принципала.

псевдоним: альтернативное имя, которое может использоваться для ссылки на объект или элемент.

псевдоним объекта: см. группу ресурсов.

группа ресурсов: объект группы, членство которого добавляется в контекст авторизации, только если сервер, получающий контекст, является членом того же домена, что и группа ресурсов.

Перспектива на основе объектов показывает, что протокол предоставляет пять основных абстракций объекта: объект сервера, объект домена, объект группы, объект псевдонима ("псевдоним" является типом группы) и объект пользователя.

В контексте Active Directory это локальная (или встроенная) группа. Доменные-локальные группы имеют значение sAMAccountType SAM_ALIAS_OBJECT. ( перечисление sAMAccountType)

Вот документ по области действия группы, в котором объясняется, что группам "Локальный домен" могут быть назначены только разрешения для ресурсов в пределах одного домена, что соответствует приведенному выше определению "группы ресурсов". Почему они выбрали слово "псевдоним", мир, возможно, никогда не узнает.

Другие вопросы по тегам