Как делегировать разрешения OU учетной записи компьютера, вложенной в группу безопасности?

Проблема: я не могу дать учетной записи компьютера разрешения на добавление групп в подразделение, добавив эту учетную запись компьютера в группу безопасности, которой предоставлено разрешение на добавление групп в это подразделение.

Причина: в нашей среде ресурсы всегда предоставляются пользователям с использованием групп ролей. Ресурс здесь - это разрешение на конкретное подразделение, которое предоставляется локальной группе безопасности домена. Роль - глобальная группа безопасности, а пользователь - учетная запись компьютера. Причина, по которой пользователь является учетной записью компьютера, заключается в том, что сценарий, для которого требуются разрешения, выполняется под учетной записью SYSTEM на этом сервере.

Установка:

Что я уже тестировал:

  • Если я делегирую разрешения непосредственно учетной записи компьютера, это работает.
  • Если я помещу пользователя в группу ролей, он сможет выполнить сценарий.

Что я хочу:

  • Решение, чтобы заставить эту установку работать (возможно, я пропустил что-то)
  • Или объяснение, почему это не сработает (тогда я попытаюсь найти другое решение)

2 ответа

Решение

Так что я нашел решение благодаря комментарию Грега Аскью

Кроме того, если вы добавите компьютер в группу, он не получит членство в группе, пока компьютер не перезагрузится или ключ Kerberos TGT не будет очищен и перезагружен. - @GregAskew

Я удалил ключ Kerbros системной учетной записи, используя PsExec и команду klist

Я вошел в сеанс интерактивной системы, а затем удалил ключ Kerbros.

PsExec.exe -s -i powershell.exe
klist purge

Я предпочел этот метод перезапуску, поскольку перезапуск сервера не всегда возможен.

Для меня это было очень полезно, из того, что было написано название. Я делал что-то подобное только с кластером, и когда я читал о TGT, это имеет смысл, я просто назначил группу и перезапустил кластер CNO, и это сработало, я был немного не уверен, нужно ли перезагружать компьютеры.

Другие вопросы по тегам