Quelle autorisation AD est requise pour autoriser l'emprunt d'identité d'un compte?

12

J'ai un compte de service Windows. Je dois lui accorder l'autorisation d'emprunter l'identité d'un autre compte au sein d'un groupe sur un autre domaine approuvé, sans délégation. Donc, effectivement, mon compte de service dit maintenant "Oh, je suis [email protected]". Je sais que c'est possible car il a été configuré pour un autre domaine - mais avant de rejoindre, et je ne sais pas comment ils l'ont fait!

Je suis développeur, mais les administrateurs du répertoire où je suis ne semblent pas savoir quoi faire. Toute aide serait grandement appréciée!

Meilleure banane
la source

Réponses:

14

Vous cherchez:

"Emprunter l'identité d'un client après l'authentification" dans la stratégie de sécurité locale sous Stratégies locales -> Attribution des droits utilisateur

Vous pouvez également utiliser NTRights avec "SeImpersonatePrivilege"

ntrights.exe + r SeImpersonatePrivilege -u domaine \ utilisateur

Christopher_G_Lewis
la source
0

Je ne sais pas exactement ce que vous essayez de faire, mais si vous essayez simplement d'exécuter une application (telle qu'une invite de commande) en tant qu'utilisateur, vous utilisez la runascommande:

runas /user:domain\user cmd
runas /user:[email protected] iexplore.exe

Cela ouvrira une invite de commande s'exécutant en tant que compte de domaine spécifié. (Notez que la machine à partir de laquelle vous exécutez devra savoir comment atteindre ce domaine ....)

L'exécution de cmd peut vous permettre d'exécuter n'importe quoi (scripts, autres applications, fenêtres d'explorateur) en tant que cet autre compte d'identification en tant qu'utilisateur - les processus enfants sont générés sous le compte du parent.

(Si cela ne répond pas à votre question, veuillez préciser ce que vous essayez de faire.)

gWaldo
la source