Jakie zezwolenie AD jest wymagane, aby umożliwić podszywanie się pod konto?

Mam konto usługi Windows. Muszę przyznać mu uprawnienia do podszywania się pod inne konto w grupie w innej zaufanej domenie bez delegowania. Tak skutecznie moje konto serwisowe mówi teraz „Och, jestem [email protected]”. Wiem, że jest to możliwe, ponieważ zostało skonfigurowane dla innej domeny - ale zanim dołączyłem i nie wiem, jak to zrobili!

Jestem programistą, ale administratorzy katalogu, w których jestem, nie wiedzą, co robić. Każda pomoc byłaby bardzo mile widziana!

Szukasz:

„Podszywanie się pod klienta po uwierzytelnieniu” w lokalnych zasadach zabezpieczeń w sekcji Zasady lokalne -> Przypisywanie praw użytkownika

Możesz także używać NTRights z „SeImpersonatePrivilege”

ntrights.exe + r SeImpersonatePrivilege -u domena \ użytkownik

Nie jestem pewien, co dokładnie robisz, ale jeśli po prostu próbujesz uruchomić aplikację (taką jak wiersz polecenia) jako ten użytkownik, użyj runaspolecenia:

runas /user:domain\user cmd
runas /user:[email protected] iexplore.exe

Spowoduje to otwarcie wiersza polecenia działającego jako określone konto domeny. (Pamiętaj, że komputer, z którego korzystasz, musi wiedzieć, jak uzyskać dostęp do tej domeny ....)

Uruchamianie cmd pozwala na uruchamianie czegokolwiek (skrypty, inne aplikacje, okna eksploratora) jako inne konto poświadczone przez tego użytkownika - procesy potomne są odradzane pod kontem rodzica.

(Jeśli to nie odpowiada na twoje pytanie, wyjaśnij, co próbujesz zrobić).