问题:我无法通过将该计算机帐户添加到已被授予向该 OU 添加组的权限的安全组来授予计算机帐户向该 OU 添加组的权限。
原因:在我们的环境中,资源始终使用角色组呈现给用户。这里的资源是特定 OU 上的权限,该权限授予域本地安全组。角色是全局安全组,用户是计算机帐户。用户是计算机帐户的原因是因为需要权限的脚本在该服务器上的 SYSTEM 帐户下运行。
设置:
我已经测试过的内容:
- 如果我将权限直接委托给计算机帐户,它就可以工作。
- 如果我将用户放入角色组中,该用户就可以执行该脚本。
我想要的是:
- 使此设置正常工作的解决方案(也许我忽略了一些东西)
- 或者解释为什么这行不通(然后我会尝试寻找其他解决方案)
答案1
答案2
对我来说,从标题来看,它非常有帮助。我曾经对集群做过类似的事情,当阅读有关 TGT 的内容时,它完全说得通,我只是分配了组并重新启动了集群 CNO,它就起作用了,我有点不确定计算机是否也需要重新启动。