Impossibile aggiungere me stesso a qualsiasi ACL durante l'utilizzo di Azure AD


0

Quando ho ricevuto un nuovo laptop all'inizio della settimana, l'impostazione iniziale mi ha consentito di accedere al dominio del mio posto di lavoro utilizzando il mio indirizzo email di lavoro, anch'esso associato al mio account Microsoft MSDN e / o Office 365, credo. Le cose funzionavano bene, soprattutto, ma dovevo inserire la mia password più spesso di quanto mi piacesse, così ho deciso di unire formalmente il mio sistema al dominio. Quando ho provato a farlo, ho ricevuto un messaggio di errore che non riesco a entrare in un dominio quando sono già iscritto in Azure AD. Non ne avevo mai sentito parlare prima, ma ho seguito i passaggi per rimuovere me stesso da Azure AD e quindi unirmi al dominio.

A questo punto, le cose stavano funzionando meglio, ma ho notato che ora avevo due profili con lo stesso dominio e nome utente. Il mio nome account è (per esempio) MYCOMP \ bmarty, e ho avuto due directory sotto C:\users:

C:\users\bmarty
C:\users\bmarty.MYCOMP

Ho anche notato che se volevo aggiungere il mio account per avere accesso al server SQL oa una directory o un file, non potevo accedere a MYCOMP \ bmarty per fare riferimento al mio account. Dovevo inserire il mio indirizzo e-mail, quindi il mio account si sarebbe risolto correttamente e potrei essere aggiunto all'ACL per SQL Server o al file.

Poi ho scoperto che non dovevo essere nel dominio perché sono solo un appaltatore che utilizza un dispositivo esterno e non utilizza un sistema gestito dalla società. Così ho cancellato tutti i miei profili e mi sono aggiunto ad Azure AD usando il mio indirizzo email.

Ora il mio problema è che non posso risolvere il mio nome account per garantirgli l'accesso a nessuna risorsa. I vecchi riferimenti MYCOMP \ bmarty sono obsoleti (l'account che uso per accedere nuovamente non si risolve allo stesso SID). E ora quando provo a digitare MYCOMP \ bmarty o il mio indirizzo email ottengo messaggi di errore. Quando uso MYCOMP \ bmarty, ottengo il messaggio:

Il seguente oggetto non proviene da un dominio elencato in Seleziona   La finestra di dialogo Posizione, e quindi non è valida: mycomp \ bmarty

Quando uso il mio indirizzo email, ottengo il messaggio:

Un oggetto (utente o entità di sicurezza integrata) con il seguente   nome non può essere trovato: "bmarty@mycomp.com". Controlla l'oggetto selezionato   tipi e posizioni per la precisione e assicurarsi di aver digitato il   nome oggetto correttamente o rimuovere questo oggetto dalla selezione.

Come dovrei aggiungere l'account con cui sono attualmente accesso a Windows in un ACL ora? L'ho confermato whoami rapporti mycomp\bmarty e whoami /upn rapporti bmarty@mycomp.com. Ho usato whoami per cercare il mio SID, ma l'editor ACL di SQL Server (che sembra standard proprio come in qualsiasi altro posto) non ha risolto neanche questo, dandomi l'ultimo messaggio di errore sopra.


Risposte:


0

Sebbene gli editor ACL non riescano a convalidare il nome dell'account utilizzando gli input forniti, esistono altri modi per garantire l'accesso.

In SQL Server, è sufficiente digitare il nome dell'account (MYCOMP \ bmarty) nel campo del nome utente senza utilizzare l'editor ACL. Questo in realtà funziona e mi ha permesso di accedere con l'autenticazione di Windows e ottenere l'accesso alle risorse extra

Per indirizzare l'accesso ai file, in un prompt dei comandi può essere concesso l'accesso a un file con icacls comando:

icacls mydir /grant mycomp\bmarty:(F,WDAC) /T
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.