Windows SMB 权限故障

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 1029 天前的主题，其中的信息可能已经有所发展或是发生改变。

遇到了一个关于 Windows 的 SMB 文件权限的故障。现象为一个文件想要删除，但是永远都会提示需要计算机管理员提供权限。而我使用的账户是 AD 域的的管理员用户。通过 Explorer.exe 无法进行删除后我尝试分别使用了 LocalHost\Administrator,AD\Administrator,AD\Administrators 组中的用户启动 Powershell 。然后我在这些终端里分别都运行了 Del,rm ，Cacls 等命令，尝试删除或者获取权限。但是均会被拒绝访问。之后我尝试分析了一下日志，发现在安全日志中有一条对应的审核失败，内容为:

 账户登陆失败 使用者: 安全 ID: S-1-5-21-625346865-4013774435-1486203556-1231 帐户名: admin 帐户域: xxxxxx 登录 ID: 0x6EE5F 登录类型: 3 登录失败的帐户: 安全 ID: NULL SID 帐户名: Guest 帐户域: FILESERVER-OP 失败信息: 失败原因: 帐户当前已禁用。 状态: 0xC000006E 子状态: 0xC0000072 进程信息: 调用方进程 ID: 0x1160 调用方进程名: C:\Windows\explorer.exe 我依据此日志，尝试启用了 Server 本机的 Guest 账户，启用后需要删除的文件直接就消失了。 未进行任何操作，这些文件直接就不存在了。 至此，问题算是临时解决。 但是我有一个疑问，为什么只有 AD 域的用户和管理员操作过的文件，在进行删除操作时会被 Server 本机的 Guest 用户限制？ 或者说这是在 Windows 权限管理上的什么漏洞吗? 还是说特性？ 请大佬指点一下。

第 1 条附言 2023-01-04 10:30:34 +08:00

查看过对应的文件所有权在 AD\Admin 手上，不在 Local\Guest 手上，而且尝试过使用 Cacls 命令夺取所有权，被拒绝访问了。对文件做任何操作都会被拒绝访问，没有尝试过使用 System 权限。

帐户

权限

Guest

删除

12 条回复 2023-01-04 10:28:39 +08:00

xieqiqiang00

2023-01-03 11:42:42 +08:00

只要是管理员的话，就可以直接修改所有者啊，改成自己为所有者，再添加自己的权限，再删除不行吗

nuII

2023-01-03 11:59:27 +08:00

应该是这个文件的 owner 是 guest ，如果你是管理员，删除的时候并不是直接删除，而是类似 logon as 的方式，切换成 owner 的 userid 再删除，就像 linux 里的`su - xxx -c 'rm foo.txt'`

Tumblr

2023-01-03 12:50:38 +08:00

这个问题看得我云里雾里的（并不是 OP 的描述的原因，是问题本身我觉得有点云里雾里），看上去更像是被 guest 给锁住了，但是一般来说 AD 的安全基线里就有禁用 guest 用户一项。总之这外问题不知道为什么 guest 账户会被调用到，并且单就这一条日志来看，也没看出来和删除文件有关。。。

总之我猜测可能删的时候是因为文件 in use 了，所以才删不掉，有时候一些提示确实是很迷惑的。

MSIAM

2023-01-03 13:52:47 +08:00

@nuII 我查看过了所有者，所有者是 AD\Admin ，但是 AD\Admin 没权限更改权限。拒绝访问

MSIAM

2023-01-03 13:54:11 +08:00

@xieqiqiang00 文件的所有者是 AD\Admin ，我已经尝试过使用这三个账户执行 Cacls 命令夺取所有权了，但是全部拒绝访问。AD\Admin 修改权限也被拒绝访问

MSIAM

2023-01-03 13:55:38 +08:00

@Tumblr 就是因为这个，这个日志我看了下时间，是每次我执行删除的时候就会创建出这么一个日志。
我怀疑是不是某些用户的神奇操作把文件的读写锁锁死了。

MSIAM

2023-01-03 13:59:32 +08:00

@Tumblr 而且怎么说呢，Cacls 这个命令，连 System Volume Information 这个目录都能强行夺取权限，但是在这个文件居然被拒绝访问，我是有点懵的。而且我也没搞明白为什么一个删除操作，需要用 AD\Admin 使用 Local\Guest 身份来调取 Explorer.exe 进行。

MSIAM

2023-01-03 14:00:48 +08:00

@Tumblr 最离谱的问题是，我一解锁 Local\Guest 这个用户，这个文件立刻消失。

Tumblr

2023-01-03 15:11:50 +08:00

@MSIAM #7 是的，所以我也觉得这个问题好懵的，我看到你有说用 icacls 了，如果夺不了那大概率是被锁死了，但是如何发生的就又是个迷~ 不纠结了，这种问题估计几年难得遇到一次，能搞定了就算完事了~~

MSIAM

2023-01-03 15:42:05 +08:00

@Tumblr 我觉得这个问题最神奇的是这个文件的消失，一启用 Guest 账户，这个文件就消失了。甚至我都没来得及检查。启用完账户之后等到我去看的时候，已经提示文件不存在了。

SgtPepper

2023-01-04 09:13:19 +08:00

要么你 guest 账户之前开启过创建了这个文件

MSIAM

2023-01-04 10:28:39 +08:00

@SgtPepper 文件的所有者是 AD\Admin 而不是 Guest 更不可能是 Local\Guest