windows – 为什么在域控制器上创建的用户始终是域的一部分？

本地帐户存储在名为 SAM database的文件中.这存在于域控制器上 – 如果引导域控制器 in restore mode,则用于执行此操作的帐户只是SAM数据库中的本地管理员帐户.但是,当Windows正常运行时,将禁用对SAM数据库的访问,并且不能使用其中的任何帐户.这意味着无法使用域控制器上的本地帐户登录.

但是,如果您乐意从命令行工作并且不需要网络访问,则可以完成此操作.诀窍是以本地系统帐户登录. Windows没有提供任何方法来执行此操作,但我通过编写一个简单的telnet服务器然后使用本地系统帐户将其作为服务运行来完成此操作.连接到telnet服务器时,您以系统帐户登录,而不是域帐户.唯一的限制是它只是命令行,系统帐户没有网络访问权限.如果您打算使用这样的黑客,请非常非常小心安全性！

虽然所有这些听起来像一个可怕的黑客它确实有合法的用途.例如,在工作中我们使用一种名为N-able的管理工具,它允许远程访问服务器上的控制台,并且它基本上使用我上面描述的技术来完成它.如果我在我们的一个域控制器上打开控制台并使用whoami命令,我得到：

脚注

Windows没有用于打开远程命令提示符的内置方法,但是as grawity mentions in a comment SysInternals psexec实用程序可以执行此操作,并且Microsoft提供并支持SysInternals实用程序,因此这至少是半官方的.在我的一台服务器上使用psexec我得到：

D:temppsexec>psexec64 cheddar -s cmd.exe

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [Version 10.0.17134.345]
(c) 2018 Microsoft Corporation. All rights reserved.

C:Windowssystem32>whoami
nt authoritysystem

C:Windowssystem32>exit
cmd.exe exited on cheddar with error code 0.