我有一个 Windows 服务帐户。我需要授予它权限,使其能够模拟另一个受信任域中某个组中的另一个帐户,而无需委派。因此,我的服务帐户实际上会说“哦,我[电子邮件保护]'现在。我知道这是可能的,因为它已经为另一个域设置好了 - 但在我加入之前,我不知道他们是怎么做到的!
我是一名开发人员,但我所在目录的管理员似乎不知道该怎么做。如能提供任何帮助,我将不胜感激!
答案1
您正在寻找:
在本地安全策略中的本地策略->用户权限分配下,选择“身份验证后模拟客户端”
您还可以将 NTRights 与“SeImpersonatePrivilege”结合使用
ntrights.exe +r SeImpersonatePrivilege -u 域\用户
答案2
我不确定您到底想做什么,但如果您只是想以该用户身份运行应用程序(例如命令提示符),则可以使用以下命令runas:
runas /user:domain\user cmd
runas /user:[email protected] iexplore.exe
这将打开以指定域帐户身份运行的命令提示符。(请注意,您正在运行的机器需要知道如何访问该域......)
运行 cmd 可以允许您以该用户的其他凭证帐户的身份运行任何内容(脚本、其他应用程序、资源管理器窗口) - 子进程在父帐户下生成。
(如果这不能回答您的问题,请澄清您正在尝试做什么。)