SID 筛选对话框 - 保证外部信任的安全

当未对传出外部信任启用 SID 筛选功能时，具有受信域中管理凭据的恶意用户可能可以“探查”来自信任域的网络身份验证请求，以获取用户（例如，对信任域中的资源具有完全访问权限的域管理员）的 SID 信息。

从信任域获取域管理员的 SID 之后，具有管理凭据的恶意用户可以将 SID 添加到受信域中用户帐户的 SIDHistory 属性中，并试图获取对此域中的信任域和资源的完全访问权限。在这种情况下，具有受信域中的域管理员凭据的恶意用户对于整个信任林是一种威胁。

SID 筛选功能使用 SIDHistory 属性帮助消除受信域中恶意用户的威胁以获取提升的权限。

在域中创建安全主体后，域 SID 将包含在安全主体的 SID 中，以识别在其中创建安全主体的域。域 SID 是安全主体的重要特征，因为 Windows 安全子系统使用它验证安全主体的身份。

同样，从信任域创建的传出外部信任会将 SID 筛选功能用于验证来自受信域中安全主体的传入身份验证请求是否只包含受信域中安全主体的 SID。通过将传入安全主体的 SID 与受信域的域 SID 进行比较来实现此操作。如果有包含域 SID（除来自受信域的 SID 外）的任何安全主体 SID，则该信任会删除这种有问题的 SID。

SID 筛选功能有助于确保在受信任林中安全主体（包括 inetOrgPerson）上对 SIDHistory 属性的任何误用都不会威胁到信任林的完整性。

当域管理员将用户帐户和组帐户从一个域迁移到另一个域时，SIDHistory 属性对于他们可能非常有用。域管理员可以将 SID 从旧用户帐户或组帐户添加到新迁移帐户的 SIDHistory 属性。通过执行此操作，域管理员将向新帐户授予与旧帐户对资源的同等访问权限。

如果域管理员无法通过此方式使用 SIDHistory 属性，则他们必须为旧帐户访问过的每个网络资源上的新帐户跟踪并重新应用权限。

对外部信任的 SID 筛选功能会影响以下两个区域中的现有 Active Directory 基础结构：

• 将会从受信域发出的身份验证请求中删除 SID 历史数据，这些 SID 历史数据包含除该受信域外的所有域中的 SID。这会导致拒绝访问具有用户旧 SID 的资源。
  
  
• 林间通用组访问控制的策略将需要更改。
  
  

启用 SID 筛选功能之后，使用 SID 历史数据对信任域中资源进行授权的用户将不再拥有对这些资源的访问权限。

通常指定受信任林中的通用组来访问信任域中共享资源的控制列表 (ACL) 时，SID 筛选功能对于访问控制策略具有重大影响。由于通用组必须符合与其他安全主体对象相同的 SID 筛选指导原则（即通用组对象 SID 必须还包含域 SID），因此请验证是否在受信域中创建了分配到信任域中共享资源的任何通用组。如果受信任林中的通用组不是在受信域中创建（即使它的成员可能包含受信域中的用户），则会筛选出并放弃来自该通用组成员的身份验证请求。因此，为受信域中的用户分配对信任域中资源的访问权限之前，请先确认已在受信域中创建了包含受信域用户的通用组。

• 用户界面：Active Directory 域和信任关系