Como delegar permissões de UO a uma conta de computador aninhada em um grupo de segurança?

Navegue suas respostas
1

O problema : Não posso conceder a uma conta de computador as permissões para adicionar grupos a uma unidade organizacional adicionando essa conta de computador a um grupo de segurança que recebeu permissão para adicionar grupos a essa unidade organizacional.

O motivo : Em nosso ambiente, os recursos são sempre apresentados aos usuários usando grupos de funções. O recurso aqui é a permissão em uma OU específica que é fornecida a um grupo de segurança do Domínio Local. A função é um grupo de segurança global e o usuário é uma conta de computador. A razão pela qual o usuário é uma conta de computador é porque o script que requer as permissões está sendo executado na conta SYSTEM nesse servidor.

A configuração :

O que eu já testei :

  • Se eu delegar as permissões diretamente na conta do computador, isso funcionará.
  • Se eu colocar um usuário no grupo de funções, esse usuário poderá executar o script.

O que eu quero :

  • Uma solução para fazer essa configuração funcionar (talvez eu tenha esquecido algo)
  • Ou uma explicação por que isso não funcionará (então tentarei encontrar outra solução)
por Tomas 07.09.2016 / 12:13

2 respostas

1

Então eu encontrei a solução graças a um comentário de Greg Askew

Also, if you add a computer to a group, the computer does not pick up the group memberships until the computer restarts or the Kerberos TGT key is purged and reloaded. – @GregAskew

Limpei a chave Kerbros da conta do sistema usando PsExec e o comando klist

Eu entrei em uma sessão interativa do sistema e purguei a chave Kerbros. 

PsExec.exe -s -i powershell.exe
klist purge

Eu preferi esse método ao reiniciar, já que reiniciar um servidor nem sempre é possível.

    
por 07.09.2016 / 16:29
-1

Para mim, foi muito útil, desde que o título foi escrito. Eu estava fazendo algo parecido apenas com um cluster, e ao ler sobre o TGT faz todo o sentido, acabei de atribuir o grupo e reiniciei o cluster CNO e funcionou, eu estava um pouco inseguro se os computadores também precisavam ser reiniciados.

    
por 16.11.2017 / 15:27

Tags

Otimize o Apache que atua como backend por trás do Nginx O host do docker CoreOS não pode acessar contêineres por IP; outros computadores em LAN podem