Как делегировать разрешения OU учетной записи компьютера, вложенной в группу безопасности?
Проблема: я не могу дать учетной записи компьютера разрешения на добавление групп в подразделение, добавив эту учетную запись компьютера в группу безопасности, которой предоставлено разрешение на добавление групп в это подразделение.
Причина: в нашей среде ресурсы всегда предоставляются пользователям с использованием групп ролей. Ресурс здесь - это разрешение на конкретное подразделение, которое предоставляется локальной группе безопасности домена. Роль - глобальная группа безопасности, а пользователь - учетная запись компьютера. Причина, по которой пользователь является учетной записью компьютера, заключается в том, что сценарий, для которого требуются разрешения, выполняется под учетной записью SYSTEM на этом сервере.
Установка:
Что я уже тестировал:
- Если я делегирую разрешения непосредственно учетной записи компьютера, это работает.
- Если я помещу пользователя в группу ролей, он сможет выполнить сценарий.
Что я хочу:
- Решение, чтобы заставить эту установку работать (возможно, я пропустил что-то)
- Или объяснение, почему это не сработает (тогда я попытаюсь найти другое решение)
2 ответа
Так что я нашел решение благодаря комментарию Грега Аскью
Кроме того, если вы добавите компьютер в группу, он не получит членство в группе, пока компьютер не перезагрузится или ключ Kerberos TGT не будет очищен и перезагружен. - @GregAskew
Я удалил ключ Kerbros системной учетной записи, используя PsExec и команду klist
Я вошел в сеанс интерактивной системы, а затем удалил ключ Kerbros.
PsExec.exe -s -i powershell.exe
klist purge
Я предпочел этот метод перезапуску, поскольку перезапуск сервера не всегда возможен.
Для меня это было очень полезно, из того, что было написано название. Я делал что-то подобное только с кластером, и когда я читал о TGT, это имеет смысл, я просто назначил группу и перезапустил кластер CNO, и это сработало, я был немного не уверен, нужно ли перезагружать компьютеры.