Я написал небольшую вспомогательную dll для проверки подлинности и попытался изменить PrimaryGroupId, когда локальный пользователь входит в систему. Dll зарегистрирован правильно, вспомогательная dll для проверки подлинности работает и записывает данные в файл журнала. Например, я могу распечатать UserAll-> NtPassword ha sh с помощью вспомогательной функции. Я могу записать UserAll-> PrimaryGroupId в файл журнала (545, локальные пользователи) и изменить его на 544 (UserAll-> PrimaryGroupId = 544; локальные администраторы). Когда я вхожу в систему с помощью тестового пользователя, я не получаю ошибок, и файл журнала показывает мне:
...
1002 (1574419248) (513) - WINLAB1 \ labuser1 (WINLAB1) (0)
ha sh xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
(здесь я установил UserAll-> PrimaryGroupId = 544; и вспомнил функцию журнала)
1002 (1574419248) (544) - WINLAB1 \ labuser1 (WINLAB1) (0)
(ошибок нет, вроде нормально, но не установлено)
...
Но у меня нет прав администратора с этим пользователем при установке windows 10. Когда я перечисляю группы в своем токене сеанса, я вижу, что у моего тестового пользователя нет PrimaryGroupId 544.
PS C: \ Users \ labuser1 \ Desktop> [System.Security.Principal. WindowsIdentity] :: GetCurrent (). Группы
Значение BinaryLength AccountDomainSid
------------ ---------------- - ----
12 С-1-1-0
16 С-1-5-32-545
12 С-1-5-4
12 С-1-2-1
12 С-1-5-11
12 С-1-5-15
12 С-1-5-113
12 С-1-2-0
28 С- 1-5-21-4104961034-2557221973-3887179111 S-1-5-21-4104961034-2557221973-3887179111-513 16 S-1-5-64-10
При установке сабвуфера auth на контроллере домена (я должен изменить PrimaryGroupId на идентификатор группы администраторов домена по умолчанию: UserAll-> PrimaryGroupId = 512;) Я могу войти в систему с учетной записью пользователя домена на рабочей станции или контроллере домена и получить измененный билет Kerberos с id основной группы 512. Работает! Учетная запись пользователя является администратором домена, но не входит в группу администраторов домена. Но я не могу найти ошибку, почему это не работает для локальных пользователей.
Может ли кто-нибудь помочь?
С уважением, Оливер
PS: Я считаю, что код дополнительной авторизации от mimilib очень полезен для моих экспериментов: https://github.com/gentilkiwi/mimikatz/blob/master/mimilib/ksub.c