Что означает группа псевдонимов в контексте SID?
Читая https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/groupmapping.html, я обнаружил, что существует псевдоним для групп. Но что означает этот псевдоним? Означает ли это, что он подключен к другой группе и наследует эти разрешения? Если так, как я мог узнать, к какой группе он принадлежит?
Я посмотрел в интернете, но ничего не смог найти по этому поводу. Есть много о SID, RID в Интернете, но ничего об псевдонимах. Что это значит в контексте SID?
SID существуют в доменах Active Directory (Windows Server) и Samba (PDC).
1 ответ
Microsoft задокументировала большую часть этого в [MS-SAMR].
Вот некоторые определения из этого документа:
account: пользователь (включая учетную запись компьютера), группа или псевдоним объекта. Также синоним участника безопасности или принципала.
псевдоним: альтернативное имя, которое может использоваться для ссылки на объект или элемент.
псевдоним объекта: см. группу ресурсов.
группа ресурсов: объект группы, членство которого добавляется в контекст авторизации, только если сервер, получающий контекст, является членом того же домена, что и группа ресурсов.
Перспектива на основе объектов показывает, что протокол предоставляет пять основных абстракций объекта: объект сервера, объект домена, объект группы, объект псевдонима ("псевдоним" является типом группы) и объект пользователя.
В контексте Active Directory это локальная (или встроенная) группа. Доменные-локальные группы имеют значение sAMAccountType SAM_ALIAS_OBJECT. ( перечисление sAMAccountType)
Вот документ по области действия группы, в котором объясняется, что группам "Локальный домен" могут быть назначены только разрешения для ресурсов в пределах одного домена, что соответствует приведенному выше определению "группы ресурсов". Почему они выбрали слово "псевдоним", мир, возможно, никогда не узнает.