SID Filtering中文版bug

     距離老王上次發布共享權限遷移系列文章已經過去將近一年了，當時寫的文件服務器遷移系列文章，看似完美，但其實對于老王來說我只能給自己打80分，為什么呢，因為最后在測試SID Filtering的時候我沒做出來效果，在心里始終是個遺憾，一直想把這個遺憾給補上，后來給補上了，SID Filtering是一項過濾SID歷史的隔離技術，防止惡意用戶將SID歷史帶到新的林環境。實際測試驗證得出兩個結論，

     1.默認情況SID Filtering會啟動在外部信任林環境。測試步驟：A域控屬于contoso林，B域控屬于apm林，建立外部信任關系，A林內有一臺03文件服務器，設置了A域用戶Stat對于共享文件夾具備Full Control權限，遷移Stat用戶到APM林中的B域控，使用ADMT進行遷移，注意遷移的時候有一個是否要遷移SID記錄的勾，要勾選上，不然看不出效果。遷移完成之后可以看到Stat用戶在APM林中，用戶已經帶有SID歷史。測試結果，雖然SID歷史已遷移，但是APM林的Stat并不能訪問Contoso林原來的共享文件夾，按照林內遷移來說，這時Stat應該是可以訪問原來的共享文件夾的，因為SID歷史帶過去了。但是在外部信任林間環境明顯默認是不行的。雖然ADMT遷移時勾選了遷移SID記錄，遷移過來用戶也具備SID歷史，但就是不能訪問原來可以訪問的文件夾，這就說明SID filtering生效了，并且默認啟用了起來。

   什么是SID filtering呢，簡單來說，就是防止遷移域用戶的時候把惡意用戶的SID歷史傳遞過去，進而利用通訊組完成提權。By Default，微軟認為外部信任是相對來說較為不安全，或者說較為不被信任的，從信任傳遞就能看出來，外部信任不能傳遞信任，林信任支持上下傳遞，不能東西傳遞。之前那次老王測試的時候也使用了外部信任的環境，但是就沒有效果，SID Filtering沒生效。

    現在明白了，我當時是把文件服務器也一起遷移到APM林了，簡單來說就是資源和賬戶都在目標林了，然后我用遷移過來的賬戶做測試，同林同域內的訪問，估計SID filtering就壓根沒起到效果，這次我把文件服務器遷移回源林了，資源在源林，賬戶到目標林，這時賬戶再訪問跨林資源，SID filtering檢測，不是在林內域內發生的訪問了，于是SID filtering生效，是by default的生效。

    實際測試得出結論，默認情況下，啟用sid filtering的只有外部信任環境，SID filtering要實現效果，資源和賬戶必須不處于同一域內。實際測試。林級別2003以上，可以針對父子信任，樹根信任，林信任啟用 SID filtering。

   2.默認情況下外部信任啟用SID filtering，這很好，凡是從外部信任林遷移過來的用戶，我都不接受你的SID歷史了，但是如何能重新接受SID歷史呢，外部信任如何關閉SID filtering，和其它信任一樣，接受SID歷史的傳遞訪問呢，老王當時測試了一個下午，都快測試麻木了，嘗試了各種各樣的外國辦法，修改組策略，改注冊表，替換netdom文件，都不能解決問題，看了很多外國大師的文章，發現和我的操作步驟都一致，后來看到了一篇德國文章，上面就很奇怪了，那個德國人的執行命令有個參數和其它人都不一樣，我猜也許會是系統語言的問題，后來也有波蘭人個人提到說德國環境下執行命令執行不了，換英文語言包就好了，后來我也死馬當活馬醫，下了個英文語言包，一裝，直接就好了。。。同樣的一個命令，中文環境下執行了100次也不行，打個英文語言包立馬就好，后來在中文版technet論壇上面反饋，很遺憾未得到微軟中國的回應

我的環境下兩個林環境，分別由兩臺2008R2中文標準版域控承載，我創建了外部信任

默認情況下Sid Filtering已經生效

在我嘗試運行禁用SID Filtering命令的時候，2008R2中文版上面命令執行效果如下

一個命令，三個不同參數，卻得到了同樣的回復

已為此信任啟用 SID 篩選功能。身份驗證期間返回的授權數據
將只接受來自受信域的 SID。

其他域的 SID 將被刪除。

當我給系統打上英文語言包，顯示語言改為英文，再次執行同樣的命令，即可得到正確的回復，也可以看到效果

technet論壇發帖：https://social.technet.microsoft.com/Forums/zh-CN/e3e53a02-efd9-42cd-8a08-f8484ee9c418/2008r2-sid-filteringbug?forum=windowsserversystemzhchs

SID Filtering學習資料

https://morgansimonsen.com/2012/01/27/some-sid-filtering-notes/

https://blog.thesysadmins.co.uk/admt-series-3-sid-history.html

   SID History 和 SID Filtering這兩個東西呢，各有各的應用場景，設計目的都是好的，如果遷移過去的用戶希望能夠訪問之前的文件，ADMT保留SID記錄就好了，如果處于安全考慮，希望遷移過去的用戶，不再能訪問原來的文件夾，只要針對信任關系啟用SID filtering就可以