Azure AD 加入设备的用户 SID 的来源

问题描述 投票:0回答:4

在 Windows 10 Azure AD 加入的设备上,本地管理员组包括:
AzureAD\管理员 (S-1-12-1-38678509…)
S-1-12-1-3346315821-114…
S-1-12-1-445845933-119…

请注意,在此示例中,设备在使用本地管理员帐户进行设置后通过设置加入到 Azure AD。

该列表将包括执行加入的 Azure AD 用户,我承担 Azure AD 全局管理员角色和 Azure AD 设备管理员角色。 (基于此处的信息https://learn.microsoft.com/en-us/azure/active-directory/devices/assign-local-admin

SID 似乎是由 Azure AD 生成的,并以 ID 令牌的形式(与其他信息一起)推送到客户端(基于此处的信息 https://jairocadena.com/2016/02/01/ azure-ad-join-幕后发生的事情/comment-page-1/#comment-3506)

但是,我找不到任何显示与 Azure AD 实体关联的 SID 的工具。 Azure AD 实际上是否生成这些 SID?如果是,是否有任何方法可以公开它们以验证哪些 SID 与实体匹配?

azure-active-directory
4个回答
2
投票

我找到了这个老问题的答案,我认为仍然有人可以从这个答案中受益。在了解真相之前,我尝试将这些 SID 转换为 AAD 用户名。才发现AAD only(仅限云)用户中没有SID。

https://www.petervanderwoude.nl/post/managing-local-administrators-via-windows-10-mdm/

每个加入 Azure AD 的设备都包含两个 SID(一个代表全局管理员角色,一个代表设备管理员角色),默认情况下它们是本地管理员的一部分。

AAD Joinded device Administrator group

1
投票

Azure AD 用户的 SID 为 S-1-12-1-,后跟 Azure AD 对象 ID 的无符号整数表示形式(4 部分)。

https://kb.policypak.com/kb/article/862-how-do-i-get-azure-ad-sids-and-use-them-with-item-level-targeting/

0
投票

如果您想获取设备上的用户SID,您可以运行以下命令:

wmic useraccount get name,sid

它将返回本地用户列表:

要获取当前登录域用户的SID,您可以运行以下命令:

whoami /user

返回如下:

0
投票

这是OP的明确答案

https://oliverkieselbach.com/2020/05/13/powershell-helpers-to-convert-azure-ad-object-ids-and-sids/

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.