开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

无法再看到为google服务帐户启用全域权限委派的选项

对于无法再看到为Google服务帐户启用全域权限委派的选项的问题，这通常是由于特定的组织或管理员设置的限制造成的。全域权限委派是一种安全功能，允许Google服务帐户代表用户访问和管理不同的Google服务。

要解决这个问题，你可以采取以下步骤：

确认你拥有适当的权限：首先，确保你具有足够的权限来管理Google服务帐户和相关设置。可能需要联系组织的管理员来获取适当的权限。
检查组织或管理员设置：如果你是在组织中使用Google服务，那么有可能组织或管理员已经禁用了全域权限委派选项。这是出于安全和合规考虑可能做出的决策。你可以与管理员沟通，了解他们的具体设置和限制。
探索其他授权选项：如果你无法使用全域权限委派，可以考虑其他的授权选项，如使用服务账号密钥、OAuth 2.0 授权流程等。这些选项提供了更有限的权限，但仍然可以满足许多应用场景的需求。

需要注意的是，具体的解决方法可能因组织的设定和限制而有所不同。因此，在遇到这个问题时，最好与管理员或组织的支持团队进行沟通，以获取准确的解决方案。

请注意，以上答案仅供参考，具体的解决方案可能因情况而异。在实际应用中，建议仔细阅读相关文档和参考资料，并咨询适当的技术支持。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Google Workspace全域委派功能的关键安全问题剖析

近期，Unit 42的研究人员在Google Workspace的全域委派功能中发现了一个关键安全问题，攻击者将能够利用该安全问题从Google Cloud Platform（GCP）中获取Google Workspace域数据的访问权。

01

Active Directory 域安全技术实施指南 (STIG)

调查结果（MAC III - 行政敏感）查找 ID 严重性标题描述 V-8534 高的不同分类级别的 DoD 目录服务之间的互连必须使用经批准可与跨分类信任一起使用的跨域解决方案。如果不使用强大的跨域解决方案，那么它可能允许未经授权访问机密数据。为了支持不同分类级别的资源之间的安全访问，... V-8536 高的受控接口必须在 DoD 和非 DoD 系统或网络之间运行的 DoD 信息系统之间具有互连。 AD 信任关系的配置是用于允许一个域中的用户访问另一个域、林或 Kerberos 领域中的资

01

Microsoft 本地管理员密码解决方案 (LAPS)

问题企业环境中计算机上本地帐户的真正问题是“本地”一词用词不当。如果网络上的 50 台计算机的本地管理员帐户为“Administrator”，密码为“P@55w0rd1!”，首先这是一个可怕的密码。其次，更重要的是，如果其中一台计算机受到威胁，它们都将受到威胁。Windows 非常有帮助。非常有用，如果您将本地管理员凭据传递给具有相同本地凭据的另一台计算机，则授予访问权限，就像您使用目标系统凭据登录一样。将管理员凭据转储到一个以获取所有管理员！缓解此问题的最佳方法是确保每台计算机都有一个不同的本地管理员帐户密码，该密码长、复杂且随机，并且会定期更改。

01

Domain Escalation: Unconstrained Delegation

在Windows 2000之后微软引入了一个选项，用户可以通过Kerberos在一个系统上进行身份验证，并在另一个系统上工作，这种技术主要通过委派机制来实现，无约束委派通过TGT转发技术实现，而这也是我们将本文中讨论的内容

02

内网协议NTLM之内网大杀器CVE-2019-1040漏洞

Preempt的研究人员发现了如何在NTLM身份验证上绕过MIC(Message Integrity Code)保护措施并修改NTLM消息流中的任何字段（包括签名）。该种绕过方式允许攻击者将已经协商签名的身份验证尝试中继到另外一台服务器，同时完全删除签名要求。所有不执行签名的服务器都容易受到攻击。这个漏洞其实就是可以绕过NTLM MIC的防护，也是NTLM_RELAY漏洞。攻击者利用该漏洞可以绕过NTLM中的MIC（Message Integrity Code）。攻击者可以修改已经协商签名的身份验证流量，然后中继到另外一台服务器，同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下，运程控制域中任意机器（包括域控服务器）。

03

Kerberos Bronze Bit攻击(CVE-2020-17049)

Kerberos Bronze Bit攻击(CVE-2020-17049)是国外netspi安全研究员Jake Karnes发现的漏洞

01

域渗透-域内权限维持(上)

在每个域控机器下都有一个DSRM帐户，为DC的本地管理员账户，这个帐户的作用就是用来设定登陆服务还原模式 AD 节点的系统管理员密码，意思就是可以从新设置DC管理员的密码，在红队作战中，如果我们拿到了DSRM帐户的密码，就算哪天域管权限丢失,我们也可以把域内任意用户的密码同步到 DSRM 账户上[这里包括了 dc 本地的 admainistrator 用户],而后再利用 DSRM 账户 ipc 连到 dc 上把域管权限拿回来。

02

危险: 持续集成系统保护不好有多糟糕？|入侵系统完整过程 | 检查版本更新 | 禁止匿名用户

Jenkins是领先的开源自动化服务器，在开发团队中很受欢迎。最近，已经观察到以大型Jenkins服务器为目标来部署加密矿工的对手。他们还使用Jenkins发起了针对性的违规行为，以维护对开发人员环境的访问。有许多记录良好的博客文章，讨论了通过漏洞利用，Web控制台和漏洞利用后的利用以及对Jenkins的访问。

02

域内计算机本地管理员密码管理

随着互联网技术的不断发现，信息安全在企业中的受重视度也越来越高，终端管理是信息安全中至关重要的一环，不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平，因此在终端管理员层如何制定完善终端管理的制度和利用现有的技术来规范用户行为至关重要。其中做好权限的管理是重中之重，而企业内终端的密码管理则是权限管理的基础。

02

红队提权 - 基于RBCD的提权

在这种情况下，我们利用这样一个事实，即从非特权用户上下文中，我们可以诱导以 NT AUTHORITY\SYSTEM 身份运行的本地服务通过 HTTP 对运行在 localhost 上的攻击者服务执行 NTLM 身份验证，使用主机的计算机帐户密码进行身份验证。然后，攻击者可以将该身份验证尝试中继到 LDAP 服务，以配置基于资源的约束委派 (RBCD) ，以允许攻击者控制的用户或计算机帐户冒充任何用户访问受害计算机。Elad Shamir 在他的文章“Wagging the Dog: Abusing Resource-Based Constrained Delegation to Attack Active Directory”中对这种攻击背后的理论基础进行了更深入的讨论。

04

Active Directory教程3

Active Directory 的早期阶段，企业常常在用户可能登录的每个站点均部署域控制器。例如，银行通常在每个支行都安装 DC。其中的逻辑是每个支行的用户都能登录并访问本地网络资源，即使 WAN 失效也能如此。本文是《Active Directory教程》的第三篇，讲述了Windows Server 2008 只读域控制器。

01

每周云安全资讯-2023年第53周

K8s集群往往会因为组件的不安全配置存在未授权访问的情况，如果攻击者能够进行未授权访问，可能导致集群节点遭受入侵。

01

Microsoft Exchange - 权限提升

在红队操作期间收集域用户的凭据可能导致执行任意代码，持久性和域升级。但是，通过电子邮件存储的信息对组织来说可能是高度敏感的，因此威胁行为者可能会关注电子邮件中的数据。这可以通过向目标用户的邮箱添加规则来实现，该规则将电子邮件转发到攻击者控制的收件箱，或者将邮箱的访问权委托给他们的Exchange帐户。

03

Adfind的使用

Adfind是一个使用C++语言写的活动目录查询工具，它允许用户轻松地搜索各种活动目录信息。它不需要安装，因为它是基于命令行的。它提供了许多选项，可以细化搜索并返回相关细节。下面讲解Adfind的参数以及其使用。执行如下命令即可查看Adfind的所有参数。

01

结合CVE-2019-1040漏洞的两种域提权深度利用分析

作者：天融信阿尔法实验室一、漏洞概述2019年6月，Microsoft发布了一条安全更新。该更新针对CVE-2019-1040漏洞进行修复。此次漏洞，攻击者可以通过中间人攻击，绕过NTLM MIC（消息完整性检查）保护，将身份验证流量中继到目标服务器。通过这种攻击使得攻击者在仅有一个普通域账号的情况下可以远程控制 Windows 域内的任何机器，包括域控服

02

域渗透技巧

由于每台服务器都需要注册用于Kerberos身份验证服务的SPN，因此这为在不进行大规模端口扫描的情况下收集有关内网域环境的信息提供了一个更加隐蔽的方法。

02

SPN 劫持：WriteSPN 滥用的边缘案例

假设攻击者破坏了为约束委派设置的帐户，但没有 SeEnableDelegation 权限。攻击者将无法更改约束 (msDS-AllowedToDelegateTo)。但是，如果攻击者对与目标 SPN 关联的帐户以及另一台计算机/服务帐户拥有 WriteSPN 权限，则攻击者可以临时劫持 SPN（一种称为 SPN 劫持的技术），将其分配给另一台计算机/服务器，并执行完整的 S4U 攻击以破坏它。

05

干货 | 全网最详细的Kerberos协议及其漏洞

krbtgt 用户，该用户是在创建域时系统自动创建的一个账号，其作用是密钥发行中心的服务账号，其密码是系统随机生成的，无法正常登陆主机。

04

Windows协议 - 委托 or 模拟

在客户端/服务器场景中，一台服务器调用另一台服务器代表客户端完成某些任务是很常见的。服务器被授权代表客户端行事的情况称为委托。

01

如何在Ubuntu 18.04上配置多重身份验证

双因素身份验证（2FA）是一种身份验证方法，需要输入多条信息才能成功登录帐户或设备。除了输入用户名和密码组合之外，2FA还要求用户输入一条额外的信息，例如一次性密码（OTP），如六位数的验证码。

03

Microsoft Exchang—权限提升

本文由网友无名翻译自”https://pentestlab.blog/2019/09/16/microsoft-exchange-privilege-escalation/“

04

【内网安全】横向移动&非约束委派&约束委派&资源约束委派&数据库攻防

IPC，WMI，SMB，PTH，PTK，PTT，SPN，WinRM，WinRS，RDP,Plink，DCOM，SSH；Exchange，LLMNR投毒，NTLM-Relay,Kerberos_TGS，GPO&DACL，域控提权漏洞，约束委派，数据库攻防，系统补丁下发执行，EDR定向下发执行等。

01

Active Directory中获取域管理员权限的攻击方法

攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。此处描述的技术“假设破坏”，即攻击者已经在内部系统上站稳脚跟并获得了域用户凭据（也称为后利用）。

01

CVE-2020-17049：Kerberos实际利用

青铜位漏洞已被开发为的延伸Impacket从在好乡亲框架SecureAuth。一个拉请求目前正在等待新开发的功能合并。Impacket内有很多强大的功能，但是我们对getST.py程序感兴趣。让我们首先回顾一下没有利用漏洞的程序功能。在第4步，我们将从上方跳入攻击路径。假设我们已经获得了Service1的哈希值，Service1与Service2具有受限的委托信任关系，并且我们试图以目标用户身份获得对Service2的访问权限。

03

Active Directory渗透测试典型案例（2）特权提升和信息收集

本文转载自：https://www.cnblogs.com/backlion/p/10843067.html

02

用Google Analytics分析WordPress

Google Analytics（分析）提供与您网站的访问者流量和销售相关的详细统计信息，让您更好地了解您的受众群体。对任何有兴趣增加访客群的网站所有者都有好处。

01

域渗透之委派攻击详解（非约束委派/约束委派/资源委派）

大家好，这里是渗透攻击红队的第 77 篇文章，本公众号会记录一些红队攻击的案例，不定时更新！请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关！

09

本地帐户和活动目录帐户

本地帐户Local Accounts存储在本地的服务器上。这些帐户可以在本地服务器上分配权限，但只能在该服务器上分配。默认的本地帐户是内置帐户(如administrator、guest等)，在安装Windows时自动创建。Windows安装后，无法删除默认的本地帐户。此外，默认的本地帐户不提供对网络资源的访问。默认的本地帐户用于根据分配给该帐户的权限来管理对本地服务器资源的访问。默认的本地帐户和后期创建的本地帐户都位于“用户”文件夹中。

03

Windows 10封装中出现“无法验证你的Windows安装”错误解决方法

近期（当时写文章时在今年4月份）在测试在Windows Server 2016 的虚拟桌面，在测试Windows 7的虚拟桌面时一切良好，但在测试Windows 10的虚拟桌面时，在对Windows 10的虚拟机进行封装时，出现"Sysprep无法验证你的Windows 安装"的错误提示，如图1-1所示。

03

Ansible 客户端需求–设置Windows主机

为了使Ansible与Windows主机通信并使用Windows模块，Windows主机必须满足以下要求：

04

为你的CVM设置SSH密钥吧！

认证是用于证明您有权执行某项操作的信息，例如登录到系统。认证通道是身份验证系统向用户传递因素或要求用户回复的方式。通俗的来讲，密码和安全令牌就是身份验证证明，计算机和电话是就是身份验证的通道。

02

间谍软件潜入Google Play

研究人员发现了第一个已知的间谍软件，它建立在Ahmyth开源恶意软件的基础上，并绕过了谷歌的应用审查过程。这个恶意的应用程序叫做RadioBalouch，又称RBMusic，实际上是一个为Balouchi音乐爱好者提供的流媒体应用程序，而它的关键在于窃取用户的个人数据。该应用两次悄悄地进入了Android官方应用商店，但在我们向谷歌发出警告后，都被谷歌迅速删除。

01

Chrome浏览器v70正式发布：同步方式改变新增AV1解码器

谷歌今天发布了Chrome浏览器的最新版本 70.0.3538.67（正式版本）。今天发布的最令人期待的新功能是新的Chrome设置面板选项，允许用户控制浏览器登录Google帐户时的行为方式,允许禁用谷歌页面的自动登陆同步功能，同时新增了AV1解码器。

04

在满补丁的Win10域主机上绕过图形接口依赖实现本地提权

在最近一次的活动目录（Active Directory）评估期间，我们以低权限用户的身份访问了一个完全修补且安全的域工作站。在尝试了许多不同的方法来提升本地权限后，我们发现了Elad Shamir发表的一篇题为“Wagging the Dog：滥用基于资源的约束委派攻击活动目录”[1]的博文。

01

CVE-2019-1040 NTLM MIC 绕过漏洞

2019年6月11日，微软发布6月份安全补丁更新。在该安全补丁更新中，对 CVE-2019-1040 漏洞进行了修复。该漏洞存在于Windwos 大部分版本中，当中间人攻击者能够成功绕过NTLM 消息完整性校验（MIC）时，Windows 存在可能可篡改的漏洞。成功利用此漏洞的攻击者可以获得降级 NTLM 安全功能的能力。要利用此漏洞，攻击者需要篡改NTLM 交换，然后修改NTLM 数据包的标志，而不会使签名无效。结合其他漏洞和机制，在某些场景下，攻击者可以在仅有一个普通账户域账户的情况下接管全域。

02

Google JavaScript API 的使用

您可以使用JavaScript客户端库与Web应用程序中的Google API（例如，人物，日历和云端硬盘）进行交互。请按照此页面上的说明进行操作。

02

使用 AD 诱饵检测 LDAP 枚举和Bloodhound 的 Sharphound 收集器

如何在 Active Directory 环境中检测 Bloodhound 的 SharpHound 收集器和 LDAP 侦察活动完成的枚举。我们将通过创建一些诱饵帐户（或蜂蜜帐户）并将它们与真实帐户混合来使用欺骗来检测这一点。诱饵帐户是为欺骗目的而创建的帐户，也用于防御以检测恶意行为。MITRE在其工具和技术中涵盖了Bloodhound和域枚举。

02

红队笔记 - 横向移动

我们需要具有 ACL 写入权限才能为目标用户设置 UserAccountControl 标志，请参阅上文以识别有趣的 ACL。使用 PowerView：

01

初探下一代网络隔离与访问控制

概述安全域隔离是企业安全里最常见而且最基础的话题之一，目前主要的实现方式是网络隔离（特别重要的也会在物理上实现隔离）。对于很小的公司而言，云上开个VPC就实现了办公网和生产网的基础隔离，但对于有自建的IDC、网络基础设施甚至自己构建云基础设施的大型公司而言，网络隔离是一项基础而复杂的安全建设。基础在这里的意思并非没有技术含量，而是强调其在安全体系里处于一个根基的位置，根基做不好，上层建设都不牢靠。隔离的目标是为了抑制风险传播的最大范围，使受害范围限定在某个安全域内，类似于船坞的隔离模式，一个仓进水不

07

一篇搞懂容器技术的基石： cgroup

目前我们所提到的容器技术、虚拟化技术（不论何种抽象层次下的虚拟化技术）都能做到资源层面上的隔离和限制。

04

搭建 Phabricator 我遇到的那些坑 - 简书

1.重启phd守护线程先进入到Fabricator文件夹下面，然后 $./bin/phd/ log

01

服务器防黑客及木马攻击的安全设置小结

很多情况下，我们使用服务器最重要的就是服务器安全设置，要不你的网站数据很容易就被别人复制走，服务器变成肉鸡，让你损失惨重，这里简单分享下，随时是2000的安全设置，但可以参考下

00

安全服务之安全基线及加固（一）Windows篇

安全服务工程师大家应该都知道，对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描、安全基线检查、渗透测试、安全加固、日志分析、恶意代码检查、应急响应、安全加固等差不多十个方面的内容的。内容多吗？我也觉得多！

05

横向移动与域控权限维持方法总汇

如果找到了某个用户的ntlm hash，就可以拿这个ntlm hash当作凭证进行远程登陆了其中若hash加密方式是 rc4 ，那么就是pass the hash 若加密方式是aes key,那么就是pass the key 注意NTLM和kerberos协议均存在PTH: NTLM自然不用多说 kerberos协议也是基于用户的client hash开始一步步认证的，自然也会受PTH影响

02

如何在Google Chrome浏览器中生成强密码

像微软这样的公司认为密码已经成为过去，相反，他们正试图推广面部识别等替代品来取代它们。

02

关于如何做一个“优秀网站”的清单——规范篇

前言本文翻译自Google Developers中的文章——《Progressive Web App Checklist》本文分为两篇，分别为基础级清单和规范级清单一个优秀的Web App 本文中所提到的“优秀的Web App”是指现在比较流行的概念——Progressive Web App，又称PWA。什么是Progressive Web App？字面上直译为“先进的web应用”，而维基百科中给出的解释是——PWA是一个用来表示使用了最新技术的Web应用的术语。PWA是

07

从0开始构建一个Oauth2Server服务 <16> 授权范围 Scope

范围是一种限制应用程序访问用户数据的方法。与其授予对用户帐户的完全访问权限，不如让应用程序能够代表用户请求更有限范围内允许它们执行的操作，这通常很有用。

03

如何使用S4UTomato通过Kerberos将服务账号提权为LocalSystem

S4UTomato是一款功能强大的权限提升工具，该工具专为蓝队研究人员设计，可以通过Kerberos将服务账号（Service Account）权限提升为LocalSystem。

01

彻底搞懂容器技术的基石： cgroup

目前我们所提到的容器技术、虚拟化技术（不论何种抽象层次下的虚拟化技术）都能做到资源层面上的隔离和限制。

03

面向网站的Google Analytics

Google Analytics 提供与您网站的访问者流量和营销情况相关的详细统计信息，让您更好地了解您的受众群体。对于任何有志于增加访问者群体的网站所有者来说，它都是有益处的。

05

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭