获取哪些用户具有管理员访问权限(提供OAuthV2访问权限)的帐户的应用编程接口是什么？

获取具有管理员访问权限的帐户的应用编程接口是Microsoft Graph API中的"List users"接口。

Microsoft Graph API是微软提供的一套RESTful风格的API，用于访问和管理Microsoft 365中的各种资源，包括用户、组织、邮件、日历、文件等。通过调用"List users"接口，可以获取所有用户的列表，并可以通过筛选条件来获取具有管理员访问权限的帐户。

该接口的请求URL为：

GET /v1.0/users

在请求中，可以通过添加筛选条件来获取具有管理员访问权限的帐户，例如：

GET /v1.0/users?$filter=userType eq 'Member' and accountEnabled eq true and assignedPlans/any(x:x/service eq 'SharePoint' and x/capabilityStatus eq 'Enabled')

上述示例中，筛选条件包括用户类型为"Member"、帐户启用状态为true，并且分配的许可计划中包含SharePoint服务并且该服务的能力状态为Enabled。

通过调用该接口，可以获取到具有管理员访问权限的帐户的详细信息，包括帐户的ID、显示名称、电子邮件地址等。

推荐的腾讯云相关产品和产品介绍链接地址：

腾讯云API网关：https://cloud.tencent.com/product/apigateway
腾讯云访问管理CAM：https://cloud.tencent.com/product/cam

相关·内容

Google Workspace全域委派功能的关键安全问题剖析

根据研究人员的发现，一个具有必要权限的GCP角色可以为委派用户生成访问令牌，恶意内部攻击者或窃取到凭证数据的外部攻击者将能够使用此访问令牌来冒充 Google Workspace用户，从而授予对目标数据未经授权的访问权限...如果在同一项目中存在具有全域委派权限的服务帐号，这可能会导致攻击者冒充委派的服务帐号并基于GCP实现横向移动，并获取对目标Google Workspace环境的访问权限。...安全管理 Google Workspace提供基于角色的访问控制（RBAC）功能，允许管理员向用户分配特定角色，并根据他们的职责和需求向他们授予预定义的权限集。...这些范围详细说明了服务帐户将有权访问哪些特定服务和特定操作。...如果请求有效并且服务帐户已被授予必要的全域委派权限，则令牌节点将使用访问令牌进行响应，应用程序可以使用此访问令牌在请求的范围限制内跨域访问用户数据； 3、API访问：应用程序在 API 请求中包含访问令牌作为身份认证

2301 0

常见问题：在 Windows 平台的 Oracle 12.1 数据库版本上的 Oracle Home 用户

Oracle Home 用户账号是什么？ Oracle Home 用户账号是低权限的非管理员账号，它用于承载 Oracle 服务。Oracle 服务需要 Oracle Home 用户权限。 2....因此任何人通过 Oracle 服务所拥有的完全权限就获得了对服务器的非授权访问。避免这个安全漏洞，一个低权限的非管理员用户，Oracle Home 用户被引进来运行 Oracle 服务。 3....该帐户的实际名称是“NT AUTHORITY\ LOCAL SERVICE”。网络服务帐户是具有比 Users 组的成员更多访问资源和对象权限的的内置帐户。...不支持使用此帐户在 Oracle Home 上应用任何补丁。所有的补丁和升级，必须由安装 Oracle Home 相同的用户以管理员权限进行。 9....由于 Oracle 服务用这个账号的权限运行，它需要能够访问 Oracle Home 的大多数二进制文件。 11. 使用 OUI 安装时哪些组被创建？

7662 0

卡巴斯基2017年企业信息系统的安全评估报告

57%的目标企业可以通过管理接口获取对信息资源的访问权限。通过管理接口获取访问权限通常利用了以下方式获得的密码：利用目标主机的其它漏洞（27.5%）。...利用管理接口获取访问权限通过何种方式获取管理接口的访问权限管理接口类型建议：定期检查所有系统，包括Web应用、内容管理系统（CMS）和网络设备，以查看是否使用了任何默认凭据...请注意这种方法的缺点是会产生大量误报。在线密码猜测攻击在线密码猜测攻击最常被用于获得Windows用户帐户和Web应用管理员帐户的访问权限。...要发起此类攻击，只需要有域用户的权限。如果SPN帐户具有域管理员权限并且其密码被成功破解，则攻击者获得了活动目录域的最高权限。在20%的目标企业中，SPN帐户存在弱密码。...管理接口（SSH、Telnet、SNMP以及Web应用的管理接口）和DBMS访问接口都可以通过用户段进行访问。在不同帐户中使用弱密码和密码重用使得密码猜测攻击变得更加容易。

1.4K3 0

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

2.6K1 0

利用基于AngularJS的XSS实现提权

管理员用户拥有应用程序的最高权限可以对任意用户执行添加/删除/编辑操作。而我最终得以提升到管理员权限就是通过XSS做到的。每当我发现XSS，我都会尝试使用一些独特的方式来利用它们。...发现基于 AngularJS 的XSS：这是一个所有特权用户均可访问包含用户帐户名和姓的页面。...在没有访问权限的情况下，你只需尝试通过发送document.body.innerHTML的输出来获取管理帐户的源码，并尝试获取有关内部功能的信息。...这里有不同的选项，如电子邮件更改和复选框，以确认用户是否具有更高的权限。通过设置参数“csc=1”，用户将被授予full权限，但此操作只能由管理员用户执行。...而在高权限用户成功执行漏洞利用代码后，我们的帐户拥有了最高权限以及对管理功能的访问权限。如下图所示： ? 总结每当测试XSS漏洞时，千万不要因为应用程序对用户输入的正确过滤而放弃。

1.3K0 0

避免顶级云访问风险的7个步骤

通过这个漏洞，网络攻击者可以获取凭据以访问Web应用程序防火墙(WAF)以访问所有资源。...减轻这种身份滥用的最有效方法是执行最低特权原则。在理想情况下，每个用户或应用程序应仅限于所需的确切权限。实施最低特权的第一步是了解已授予用户(无论是人员还是机器)或应用程序哪些权限。...AWS身份和访问管理(IAM)是一个功能强大的工具，它允许管理员安全地配置超过2500个权限，以实现对给定资源可以执行哪些操作的细粒度进行控制。 ?...步骤2：分析身份和访问管理(IAM)组下一步是检查用户所属的每个身份和访问管理(IAM)组。这些还具有附加策略，可以间接授予用户访问其他资源的权限。...由于不能使用访问控制列表(ACL)来控制同一帐户中身份的访问，因此可以跳过与该用户相同帐户中拥有的所有资源。步骤6：查看权限边界在这一步骤中，需要检查每个用户的权限边界。

1.2K1 0

数据库安全能力：安全威胁TOP5

权限滥用在一项来自多个企业数据的长达两年的研究中表明，在每个企业中人们都使用数据库服务帐户来访问数据库，并且这些用户滥用这些特权服务帐户来直接访问敏感数据，从而绕过了应用程序界面。...Web Shell是利用Web服务器核心功能（为远程客户端提供服务）获得持久远程访问并通过与服务器Shell的接口获得对服务器的完全或有限控制的后门程序。...此活动有多个危险信号：用户突然对从未尝试访问过的数据库产生兴趣单个用户使用多个帐户访问数据库的帐户没有权限，这可能会导致一个结论即该帐户根本不应该能够访问此数据库曾数据泄露报告称超过3500万条记录丢失或被盗...然后，您需要了解用户的正常行为-他们访问哪些数据库、使用哪些数据库帐户、借助哪些工具、何时使用它们以及最终定义对等的正常用户和正常行为的更多详细信息（数据库准入因子自学习可参考：数据库安全能力：安全准入控制矩阵模型构建与实践...以医疗大数据平台为例，提供商可以共享患者数据。患者可以访问系统获取遗传信息，然后再访问有关药物信息的系统。分析此数据的应用程序可以将信息关联起来，以找到与遗传和健康有关的购买趋势。

1.3K0 0

蜜罐账户的艺术：让不寻常的看起来正常

本文介绍如何创建用作蜜罐（或蜜令牌）的帐户，这些帐户看起来像是提供了攻击者想要的东西（访问），但最终提供了防御者想要的东西（检测）。...所有这些都只有用户权限和企业网络上的最少活动。 image.png 4....此信息使攻击者能够收集网络会话信息并识别正在使用哪些计算机特权帐户。借助此信息，攻击者可以确定如何破坏单台计算机以获取对管理员凭据的访问权限并破坏 AD。...如果是管理员帐户，是否有相关的用户帐户处于活动状态？...有几种方法：将蜜罐帐户添加到具有真实权限的特权 AD 组，并确保其具有长而复杂的密码。一个简单的方法是打开帐户，选中用户选项“使用智能卡登录”，单击应用，然后取消选中应用。

1.7K1 0

通过ACLs实现权限提升

，枚举是关键，AD中的访问控制列表(ACL)经常被忽略，ACL定义了哪些实体对特定AD对象拥有哪些权限，这些对象可以是用户帐户、组、计算机帐户、域本身等等，ACL可以在单个对象上配置，也可以在组织单位(.../或下行对象的身份和相应权限，ACE中指定的身份不一定是用户帐户本身，将权限应用于AD安全组是一种常见的做法，通过将用户帐户添加为该安全组的成员，该用户帐户被授予在ACE中配置的权限，因为该用户是该安全组的成员...，该资源可以是NTFS文件共享、打印机或AD对象，例如：用户、计算机、组甚至域本身为AD安全组提供许可和访问权限是维护和管理(访问)IT基础设施的一种很好的方式，但是当组嵌套太频繁时，也可能导致潜在的安全风险...添加新用户来枚举域和升级到域管理员，以前ntlmrelayx中的LDAP攻击会检查中继帐户是否是域管理员或企业管理员组的成员，如果是则提升权限，这是通过向域中添加一个新用户并将该用户添加到域管理员组来实现的...，则考虑创建新用户的选项，这可以在用户容器(用户帐户的默认位置)中，也可以在OrganizationalUnit中，例如：it部门成员有人可能已经注意到我们在这里提到了中继帐户，而不是中继用户，这是因为攻击也针对具有高特权的计算机帐户

2.4K3 0

组织需要知道谁在云计算环境中潜伏

这也是他决定将研究重点放在谷歌云平台上的部分原因，这也是他将在即将举办的欧洲黑帽大会上发布“谷歌云平台中的许可挖掘”演讲报告的主题。 Estep说，“如果攻击者获得更多访问权限，最糟糕的情况是什么?...他以附加的控件为便，这些控件声明权限只能在特定情况下或在组织的特定部分中使用。但是，由于这些控件可能属于不同的服务，因此超出了正常权限。这为管理员查询用户的权限以查看他们能够访问的内容带来了问题。...其解决方案旨在为组织提供一种简单的方法来规划授予成员的权限、谷歌云平台环境结构和服务帐户。他说，“这个项目最初是一个PoC，我想知道是否能回答‘知道所有用户都能做什么吗’这个问题。”...Netskope公司开发的解决方案将在BHEU发布，可以检查用户及其权限，以了解可以模拟哪些服务帐户。该解决方案使用图表来映射实体和关系，以便管理员可以查看哪些权限已附加到谷歌云平台用户。...一旦通过API调用获取了相关数据，该图表就会以一种易于理解的方式映射出管理员需要的信息。虽然Estep最初不想使用图形，但这是同时考虑许多不同层的最佳方法。

5312 0

Active Directory中获取域管理员权限的攻击方法

使用用户帐户登录计算机并通过在 RDP 凭据窗口中键入域管理员凭据打开与服务器的 RDP 会话，会将域管理员凭据暴露给在系统上运行键盘记录器的任何人（这可能是先前危害用户的攻击者帐户和/或计算机）如果有服务部署到在具有域管理员权限的服务帐户的上下文下运行的所有工作站或所有服务器...还有其他类型的凭据盗窃，但这些是最受欢迎的： Pass-the-Hash：获取哈希并用于访问资源。哈希在用户更改帐户密码之前一直有效。...管理员帐户不应登录到执行电子邮件和网页浏览等用户活动的常规工作站。这限制了凭证被盗的机会。请注意，智能卡不能防止凭据盗窃，因为需要智能卡身份验证的帐户具有关联的密码哈希，该哈希在后台用于资源访问。...重新验证具有 Active Directory 管理员权限的每个帐户，以验证是否确实需要（或只是需要）完整的 AD 管理员权限。从与人类相关的帐户开始，然后专注于服务帐户。...通过对虚拟化主机的管理员权限，可以克隆虚拟 DC 并离线复制相关数据。获取对虚拟 DC 存储数据的访问权限，并有权访问域凭据。你运行 VMWare 吗？

5.2K1 0

Conjur关键概念 | 机器身份（Machine Identity）

识别和授权机器很重要，因为我们在自动化工作流中将权限委托给它们。 Conjur为机器提供可靠和安全的识别。这个身份是Conjur认证服务的一部分，为机器证明自己可以访问Conjur提供了一种方法。...一旦你有了这些，DevOps团队就可以使用策略来控制机器可以访问哪些秘密。策略还管理哪些其他用户（机器和人员）可以访问机器，例如，管理操作、SSH访问或流量授权。身份是什么？...层（Layers）层是一组主机，用于将它们管理在一起，类似于一组用户。分配到层是主机获取权限的主要方式，也是用户获取主机访问权限的主要方式。出于后一个目的，用户也被列为层的成员。...一个层包括：属于层的主机。层中的主机自动获得授予层的特权，例如获取秘密值的能力。成员是对层中的主机具有权限的用户。成员将自动被授予层中所有主机的特权。...它们都具有更改主机密码、轮换API键或更改影响主机的策略的权限，包括授予主机访问所需秘密的权限。这些秘密在策略的其他地方声明为Conjur变量。

1.5K2 0

怎么在云中实现最小权限?

、亚洲和南太平洋地区的军事行动，它配置了三个AWS S3云存储桶，允许任何经过AWS全球认证的用户浏览和下载内容，而这种类型的AWS帐户可以通过免费注册获得。...第一步是了解已为给定用户或应用程序分配了哪些权限。接下来，应该对实际使用的那些权限进行清点。两者的比较揭示了权限差距，即应保留哪些权限以及应修改或删除哪些权限。这可以通过几种方式来完成。...身份和访问管理(IAM)控件拥有2,500多个权限(并且还在不断增加)，它使用户可以对在AWS云平台中的给定资源上执行哪些操作进行细粒度控制。...(1)单个应用程序–单一角色：应用程序使用具有不同托管和内联策略的角色，授予访问Amazon ElastiCache、RDS、DynamoDB和S3服务的特权。如何知道实际使用了哪些权限?...以及如何在不中断其他可能同时使用第二个更高权限角色的应用程序的情况下限制应用程序的权限? 一种称为Access Advisor的AWS工具允许管理员调查给定角色访问的服务列表，并验证其使用方式。

1.4K0 0

红队之windows用户和组

Windows 默认账户用于特殊用途，一般不需更修改其权限与使用者关联的用户帐户 Administrator（管理员用户）默认的管理员用户 Guest（来宾用户）默认是禁用的 Windows...，Administrator账户具有对计算机的完全控制权限，并根据需要向用户分配权力和访问控制权限，该账户必须仅用于需要管理凭据任务强烈建议Administrator设置为强密码永远不可以从管理员组删除...Adminsitrator账户，但是可以重命名或禁用该账户 Guests 组是提供给没有用户帐户但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。...如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。...如果用户被允许访问该对象，Windows NT将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。

2K2 0

windows用户和组

> User > Guest 与windows组件关联的用户账户 System (本地系统)：为windows的核心组件访问文件等资源提供权限 Local Service (本地服务)：预设的拥有最小权限的本地账户...也就是说，域上的系统管理员在这台计算机上也具备着系统管理员的权限 Guests 组是提供给没有用户帐户但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。...Users 组内的成员只拥有一些基本的权利，例如运行应用程序，但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。所有添加的本地用户帐户者自动属于Users组。...如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。...如果用户被允许访问该对象，Windows NT将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。

2.9K2 0

学习Linux？从这里开始

如今，大多数 Linux 发行版要求用户使用非特权（非 root）用户帐户登录。然后，用户可以使用 sudo 为特定委托的任务提升权限。避免 root 登录被认为是 Linux 安全最佳实践。...学习访问控制方法管理对文件和文件夹的访问是 Linux 系统管理员的一项关键技能。访问控制从用户帐户开始，它建立用户的身份。这些帐户可以被放置在组中，以便于管理。...权限与文件相关联，以指定哪些帐户具有哪些权限。每当用户尝试管理文件时，都会检查此访问列表。 Linux 权限不同于 Windows 访问控制。...有三个级别的访问权限（读、写和执行），它们使用诸如 chmod 和 chown 之类的命令应用于三个身份（用户（所有者）、一个组和所有其他人）。...然而，回报是巨大的。您将能够组装一个系统，为用户提供服务，提供安全的日常使用，或针对编程进行优化。掌握命令行还可以为您提供更高的速度和自动化机会。

1061 0

WMI远程访问问题解决方法

在 WMI 之前，所有的 Windows 图形化管理工具都依赖于 Win32 应用程序编程接口（Application Programming Interfaces，APIs）来访问和管理 Windows...通过WMI访问远程计算机需要注意几点： 1。首先确保使用的用户名和密码正确，且用户有管理员权限。用户的密码不能为空。 2。检查目标机上DCOM是否可用。...在“用户权限”下的“允许”栏中，选择“远程启动”，然后单击“确定”。 5。如果访问的目标机运行的是Windows XP Pro 系统，需要确保远程登录方式不是来宾帐户的方式。...解决方法： 1，首先确保目标机器存在，ip地址正确，用户名和密码正确，且用户具有管理权限。 ping 能够ping通。...在本地机器命令行上执行命令：net use \\ /user:用户名> ，将返回具体的错误号：错误号5，拒绝访问：很可能你使用的用户不是管理员权限的，先提升权限；错误号

2.7K3 0

谈谈域渗透中常见的可滥用权限及其应用场景(一）

你的团队可以使用 BloodHound 快速深入了解 AD 的一些用户关系，了解哪些用户具有管理员权限，哪些用户有权对任何计算机都拥有管理权限，以及有效的用户组成员信息。...) 当我们为我们的用户帐户设置这些权限时，我们能够请求域中任何用户的密码哈希，那么具体如何获取的呢？...：复制目录更改（DS-Replication-Get-Changes）全部复制目录更改 (DS-Replication-Get-Changes-All ) 注：默认本地管理员、域管理员或企业管理员以及域控制器计算机帐户的成员默认具有上述权限...实际应用场景：我们在bloodhound可以看到support用户对AUDIT用户具有ForceChangePassword权限通过上图可以看到，support用户有权修改audit2020用户的密码...滥用DNS Admin组权限实现权限提升简介：当我们有权访问恰好是 DNSAdmins 组成员的用户帐户时，或者当受感染的用户帐户对 DNS 服务器对象具有写入权限时，我们可以滥用他的成员资格从而升级为管理员权限

1.2K2 0

Windows 身份验证中的凭据管理

凭据提供程序还旨在支持特定于应用程序的凭据收集，并可用于对网络资源进行身份验证、将计算机加入域或为用户帐户控制 (UAC) 提供管理员同意。...系统服务和传输级应用程序通过安全支持提供程序接口 (SSPI) 访问安全支持提供程序 (SSP)，该接口提供用于枚举系统上可用的安全包、选择一个包以及使用该包获取经过身份验证的安全包的功能。...安全系统进程处理安全令牌；根据资源权限授予或拒绝对用户帐户的访问；处理登录请求并发起登录认证；并确定操作系统需要审核哪些系统资源。...Windows Server 2008 R2 和 Windows 7 中引入了托管服务帐户和虚拟帐户，以便为 SQL Server 和 IIS 等关键应用程序提供各自域帐户的隔离，同时消除管理员手动管理服务主体的需要这些帐户的名称...它也可能因一个会话而异，例如当管理员修改用户的权限时。此外，当用户或计算机在独立基础上、在网络中或作为 Active Directory 域的一部分运行时，安全上下文通常是不同的。

6.1K1 0

寻找活动目录中使用可逆加密存储密码的账户

下面进入我们的正题。这一切都始于从域控中提取哈希值。通常我们需要先将权限提升为域管并登录到域控才能获取到这些文件。...但在某些特殊情况下，可能会存在一个可供较低权限帐户访问的备份文件，该文件包含Active Directory（AD）数据库。...答案是为了满足某些应用程序的需要。因此，微软为需要知道用户密码值的应用程序提供了一种机制，就是强制存储可逆加密的密码，以便对用户进行身份验证。...备份文件通常可由较低权限的帐户访问，甚至是所有的域用户。在这种情况下，任何域用户都可以轻松访问，使用可逆加密存储的任何帐户密码。...Filter – 使用PowerShell表达式告诉cmdlet搜索参数是什么。这里，我们搜索的是具有特定UserAccountControl属性值的用户帐户。

3K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云