delegation
无法找到 OU 上的委派的“读取锁定时间”和“写入锁定时间”
尝试将权限委托给 OU 上的组;但在“用户对象”的特殊权限中找不到 2 个属性,它们是“读取锁定时间”和“写入锁定时间”,我看不到它们,有什么原因吗?我在 Windows 7 计算机上使用 ADUC 工具,该计算机的域由 Windows 2003 R2 和 Windows 2008 R2 域控制器组成,我是域管理员。 ...
delegation
delegation
Active Directory 写入权限允许编辑用户信息,但不允许编辑管理员用户信息
在我们的 Active Directory(2008 R2)中,我使用委派授予一组非管理员用户编辑用户信息属性(例如电话号码、职称、邮政地址等)的权限。 该组的成员现在可以编辑大多数用户的信息,但无法编辑管理员的信息。但为什么呢?我没有找到任何可能导致这种情况的“拒绝”条款。 ...
delegation
为什么委托名称服务器会与权威名称服务器不同?
如果你进入 intodns.com 并输入 stackoverflow.com,父服务器会告诉我该域名的名称服务器在这里: ns1.serverfault.com. ['198.252.206.80'] [TTL=172800] ns3.serverfault.com. ['69.59.196.217'] [TTL=172800] ns4.serverfault.com. ['69.59.196.122'] [TTL=172800] ns2.serverfault.com. ['198.252.206.81'] [T...
delegation
AD:委派计算机日志访问
我想设置以下审计场景: 大型 Active Directory 域分散在各个物理站点中,每个站点都包含在自己的组织单位中。非管理域组的成员必须远程访问一个站点的每台计算机上的事件日志。除了执行上述任务所严格要求的权限外,不应向该组授予任何其他权限。 域版本是 2003,有些服务器是 2008R2。 我查看了委派向导和组策略,但无济于事。授予域或本地管理权限是不可能的,即使通过受限组也是如此。 全局域审计不能受到影响,也不能被访问以执行此任务。 请,这样的委派可能吗?如果有,那么是如何部署的? 感谢和 问候 ...
delegation
Kerberos:从 IIS 运行的 Win 应用程序到 SQL 的连接失败
我有一个具有 Windows 身份验证和模拟功能的 IIS Web 应用程序。此应用程序连接到 SQL 服务器。在这种情况下,Kerberos 工作正常。 但有一个问题。Web 应用程序运行 Windows 应用程序 (COM),它也连接到 SQL 服务器。Windows 应用程序使用 IIS 应用程序用户凭据运行,并模拟当前站点用户连接到 SQL 服务器。 方案:https://i.stack.imgur.com/2cgv7.png 当 IIS 用户的委派设置为“信任此计算机委派任何服务”时,一切正常。但根据安全要求,我不能使用这种类型的委派。 当...
delegation
Kerberos 委派的风险
我花了好几个小时尝试学习和理解 IIS 7.5 中的 Windows 身份验证、Kerberos、SPN 和约束委派。有一件事我不明白,那就是为什么对管理员、CEO 等来说,保持委派启用(即不禁用敏感帐户的委派)是“危险的”。有人能用简单的术语向我解释一下吗?请根据内联网环境来回答。 我的理由是,这不应该是一个问题,因为委派只是允许前端 Web 服务器在与其他服务器通信时代表经过 Windows 身份验证的用户行事。如果该用户有访问权限,他们就有访问权限,我不明白为什么这应该是一个问题。 请原谅我的无知。我主要是一名开发人员,但我的公司最近经营不善,我不...
delegation
最终用户 AD 管理解决方案
我们刚刚迁移到纯 Microsoft 环境,正在寻找最终用户 AD 管理解决方案。 理想情况下,我们希望用户能够在 AD 中管理他们的个人信息。我们的域中有大约 500 名用户。 我从谷歌搜索中找到了一些产品,但我很想知道其他人可能正在使用什么产品。 ...
delegation
努力委派子网 192.168.0.0/27
好吧,这让我很抓狂。 我正试图重新委派/27的子网192.168.0.0/24。 我得到了0.168.192.in-addr.arpa.区域。 此区域除此以外SOA还有一个条目: 1 CNAME 0/27.0.168.192.in-addr.arpa. 然后我有一个0/27.0.168.192.in-addr.arpa.区域。 此区域此外SOA还有一个条目: 1 PTR tilt-1.example.com. 当我查询时host -a 192.168.0.1 mydns-1 我得到的是: $ host -a 192.168.0.1 mydns...
delegation
Windows外域在Power BI和外部数据源上信任Kerberos身份验证,如何实现?
Forest1-DomainA(位置 F1-A)中的 Power BI Reporting Services。 用户帐户位于 Forest2-DomainA(位置 F2-A)。 F1-A 信任 F2-A。用户登录的 VDI/RDS 位于 F1-A,服务位于 F1-A。URL 为 pbi.example.com,从 VDI/RDS 解析到托管 PBI 服务的 Windows Server 2022 计算机。在 Windows Server 2022 AD 计算机帐户上,我们创建了 SPN http/pbi.example.com。 使用来自 F1-A 域的用户...
delegation
“帐户很敏感,无法委托”
此设置是 Active Directory 域帐户的“帐户”对话框的一部分。建议特权帐户使用此设置。 我不太了解此设置,但遇到了一个问题,我有两个互相信任的域,但当我检查此设置时,我无法将用户帐户从一个域移动到另一个域。我怀疑这是因为我已连接到其中一个域,但我的凭据无法通过委派在目标域上使用/传输。 有没有办法在不使用委派的情况下进行跨域移动,以便我可以保持此框处于选中状态? 我将如何对两个域进行身份验证,以便身份验证不通过委托来完成(此设置禁止)? ...
delegation
如何将子域名(及其子子域名)委托给另一个名称服务器?
我们在本地网络中使用自己的 DNS 服务器,运行良好。域名只需在本地网络内即可访问。假设域名是ourdomain.com。 现在我们已经创建了一个子域名public.ourdomain.com,并且我们希望其所有子域名都是公开的。例如,测试.public.ourdomain.co米,experiment.public.ourdomain.com,demo.public.ourdomain.com由外部网络托管服务提供商创建并托管。 现在可以从公共互联网访问这些域,但在我们的本地网络中,问题是我们的本地 DNS 被查询并且它不知道这些外部域。 现在我怎样才能让...
delegation
为什么通过 klist 可以看到多个 Kerberos TGT?
我刚开始尝试了解 Kerberos,并偶然发现了我的系统上的两个 TGT - 然后我发现了这篇文章生成了多个 LDAP 和 krbtgt 票证。 我研究了 Kerberos 委派,但不幸的是,出现的问题比答案还多。 为什么在请求同一领域中另一项服务“背后”的服务时,我们需要不同的 TGT?单个 TGT(始终可以转发)似乎可以很好地为不同的服务器请求多个 ST(如果客户端直接联系)。在 Web 服务器背后的 SQL-Server 等服务上使用原始 TGT 有什么缺点? 根据https://techcommunity.microsoft.com/t5/ask-...
delegation
如何在 azure bicep 中向现有子网添加委派?
我正在尝试创建应该可供私有 vnet 中的 postgres 访问的 azure 应用程序功能。 但是,网络似乎显示错误,因为已经委派,所以无法添加。 因此我尝试向 aks 网络和 azure 应用网关网络添加委派以创建一个私有端点。 我的天蓝色二头肌代码: @description('The name of the Azure Function app.') param functionAppName string = 'func-${uniqueString(resourceGroup().id)}' @description('Storage Acc...
delegation
更新
我正在尝试让我的 MSSQL 数据库用户能够 BULK INSERT / OPENROWSET() 存储在我们的 DFS/cifs/smb 网络共享上的 CSV 文件。 初始设置 我已将 MSSQL 服务设置为以域用户帐户运行,EXAMPLE\svc_mssql并将该用户添加到具有相关 DFS 共享的读取权限的安全组(例如\\example.org\myshare\data\path\to\mydata.csv)。这允许通过 SQL 身份验证连接到数据库的用户成功读取共享上的文件,因为不存在 Kerberos 双跳问题: C:\Temp>sqlcmd ...