Question Quelle autorisation AD est requise pour permettre l'emprunt d'identité d'un compte?


J'ai un compte de service Windows. Je dois lui accorder la permission d'usurper l'identité d'un autre compte au sein d'un groupe sur un autre domaine approuvé, sans délégation. Donc, effectivement, mon compte de service dit «Oh, je suis Barnie@otherdomain.com» maintenant. Je sais que c'est possible car il a été configuré pour un autre domaine - mais avant de m'inscrire, et je ne sais pas comment ils l'ont fait!

Je suis développeur, mais les administrateurs de l'annuaire où je suis ne semblent pas savoir quoi faire. Toute aide serait grandement appréciée!


10
2017-09-29 13:46


origine




Réponses:


Vous cherchez:

"Emprunter l'identité d'un client après l'authentification" dans la stratégie de sécurité locale sous Stratégies locales -> Attribution des droits utilisateur

Vous pouvez également utiliser NTRights avec "SeImpersonatePrivilege"

ntrights.exe + r SeImpersonatePrivilege -u domaine \ utilisateur


11
2017-10-22 04:25





Je ne sais pas exactement ce que vous essayez de faire, mais si vous essayez simplement de lancer une application (telle qu'une invite de commande) en tant qu'utilisateur, vous utilisez la commande suivante: runas commander:

runas /user:domain\user cmd
runas /user:user@domain.com iexplore.exe

Cela ouvrira une invite de commande s'exécutant sous le compte de domaine spécifié. (Notez que la machine à partir de laquelle vous exécutez devra savoir comment atteindre ce domaine ....)

Exécuter cmd peut vous permettre d’exécuter n'importe quoi (scripts, autres applications, fenêtres d’explorateur) en tant qu’autre compte accrédité lorsque cet utilisateur - processus enfants sont générés sous le compte du parent.

(Si cela ne répond pas à votre question, veuillez clarifier ce que vous essayez de faire.)


0
2017-10-21 16:23