Назад | Перейти на главную страницу

Как делегировать разрешения OU учетной записи компьютера, вложенной в группу безопасности?

Эта проблема: Я не могу предоставить учетной записи компьютера разрешения на добавление групп в OU, добавив эту учетную запись компьютера в группу безопасности, которой было предоставлено разрешение на добавление групп в это OU.

Причина: В нашей среде ресурсы всегда предоставляются пользователям с помощью групп ролей. Ресурс здесь - это разрешение на конкретное подразделение, которое предоставляется локальной группе безопасности домена. Роль - это глобальная группа безопасности, а пользователь - это учетная запись компьютера. Причина, по которой пользователь является учетной записью компьютера, заключается в том, что сценарий, для которого требуются разрешения, выполняется под учетной записью SYSTEM на этом сервере.

Установка:

Что я уже тестировал:

Что я хочу:

Итак, я нашел решение благодаря комментарию Грега Аскью.

Кроме того, если вы добавляете компьютер в группу, он не принимает членство в группе до тех пор, пока компьютер не будет перезагружен или ключ Kerberos TGT не будет очищен и перезагружен. - @GregAskew

Я очистил ключ Kerbros системной учетной записи, используя PsExec и команда klist

Я вошел в интерактивный системный сеанс, а затем очистил ключ Kerbros.

PsExec.exe -s -i powershell.exe
klist purge

Я предпочел этот метод перезапуску, поскольку перезапуск сервера не всегда возможен.

Мне очень помогло то, из чего было написано название. Я проделал нечто подобное только с кластером, и, когда я читал о TGT, это имеет смысл, я просто назначил группу и перезапустил кластерный CNO, и это сработало, я был немного не уверен, нужно ли перезапускать компьютеры.