Jakie zezwolenie AD jest wymagane, aby umożliwić podszywanie się pod konto?


12

Mam konto usługi Windows. Muszę przyznać mu uprawnienia do podszywania się pod inne konto w grupie w innej zaufanej domenie bez delegowania. Tak skutecznie moje konto serwisowe mówi teraz „Och, jestem Barnie@otherdomain.com”. Wiem, że jest to możliwe, ponieważ zostało skonfigurowane dla innej domeny - ale zanim dołączyłem i nie wiem, jak to zrobili!

Jestem programistą, ale administratorzy katalogu, w których jestem, nie wiedzą, co robić. Każda pomoc byłaby bardzo mile widziana!

Odpowiedzi:


14

Szukasz:

„Podszywanie się pod klienta po uwierzytelnieniu” w lokalnych zasadach zabezpieczeń w sekcji Zasady lokalne -> Przypisywanie praw użytkownika

Możesz także używać NTRights z „SeImpersonatePrivilege”

ntrights.exe + r SeImpersonatePrivilege -u domena \ użytkownik


0

Nie jestem pewien, co dokładnie robisz, ale jeśli po prostu próbujesz uruchomić aplikację (taką jak wiersz polecenia) jako ten użytkownik, użyj runaspolecenia:

runas /user:domain\user cmd
runas /user:user@domain.com iexplore.exe

Spowoduje to otwarcie wiersza polecenia działającego jako określone konto domeny. (Pamiętaj, że komputer, z którego korzystasz, musi wiedzieć, jak uzyskać dostęp do tej domeny ....)

Uruchamianie cmd pozwala na uruchamianie czegokolwiek (skrypty, inne aplikacje, okna eksploratora) jako inne konto poświadczone przez tego użytkownika - procesy potomne są odradzane pod kontem rodzica.

(Jeśli to nie odpowiada na twoje pytanie, wyjaśnij, co próbujesz zrobić).

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.