在跨域AD账户中配置授权的问题。

Question

在我们的测试环境中，有2个域。设置了单向信任，然后我们改成了双向信任，但还是不行。

我想在domainAuserA上设置授权。在 Delegation选项卡，我选择 Trust this user for delegation to specificed services only. 然后在 Services to which this account can present delegated credentials 我试图找到domainBssrs（SQL报表服务的服务账户），但我在domainB下找不到任何用户。但是我可以在 domainBuserB 和 domainBssrs 之间设置授权。

我没有授权或kerberos的经验。你能告诉我跨域授权是否可行吗？如果可以，我应该怎么做？

Answer 1

标准约束的授权不能跨域进行。你需要的是基于资源的约束性委托. 它的要旨是，谁被允许委托给谁的决定是相反的，所以授予特权的人实际上是被委托的服务，而不是试图进行委托的服务得到决定。

你不能从用户界面上做这件事。必须通过PowerShell来完成。

$frontEndService = Get-ADUser -Identity "web01$"

Set-ADUser "backend01$" -PrincipalsAllowedToDelegateToAccount $frontEndService

通过常规的约束性授权 web01$ 可以决定它可以委托给...。backend01$ 和 backend01$ 没有发言权。这对于某些环境来说是根本性的奇怪，所以基于资源约束的委托就把它翻过来了，所以 backend01$ 可谓 web01$ 被允许委托给我。

这样做的副作用是，现在你可以跨越域边界进行窥视，允许服务委托。

在跨域AD账户中配置授权的问题。

问题描述投票：0回答：1

1个回答

最新问题

在跨域AD账户中配置授权的问题。

问题描述 投票：0回答：1

1个回答

最新问题

问题描述投票：0回答：1