Ondrej Sevecek's Blog

Jak uděláte z řetězce obsahujícího SID objekt?

$sidFromString = [System.Security.Principal.SecurityIdentifier] 'S-1-5-21-3152914998-936455129-3222438019-1001'

Jak načtete objectSID z Active Directory, abyste z něho měli zase SIDový objekt?

$adUser = [ADSI] 'LDAP://CN=someUser,OU=someContainer,DC=gopas,DC=virtual'
$binarySID = $adUser.objectSID
$sidFromBinary = New-Object System.Security.Principal.SecurityIdentifier $binarySID, 0

Jak dostanete zase zpátky ze SIDu pole bajtů? Pomocí funkce GetBinaryForm()

[byte[]] $sidBytes = New-Object byte[] $sidFromString.BinaryLength
$sidFromString.GetBinaryForm($sidBytes, 0)

Nešlo by automaticky přeložit SID na login uživatele, nebo skupiny? Jasně že šlo, pomocí jeho vlastní funkce Translate()

$sidFromString.Translate([System.Type]::GetType('System.Security.Principal.NTAccount'))

Translate() metoda ovšem vyžaduje online přístup do příslušné doménové databáze. Tedy skoro-online. Pokud to má lokální LSASS nakešováno, tak samozřejmě online přístup není potřeba. Keš se  plní při prvním překladu a zůstává v paměti do restartu (tedy aspoň nevím o tom, že by se to po nějakém čase zapomínalo).

A co třeba otevření objektu v Active Directory do DirectoryEntry třídy pomocí jeho SIDu?

$whoIsThis = [ADSI] 'LDAP://<SID=S-1-5-21-3152914998-936455129-3222438019-1095>'