Bir hesabın kimliğine bürünmeye izin vermek için hangi AD izni gerekir?

Bir Windows hizmet hesabım var. Temsilci olmadan başka bir güvenilen etki alanındaki bir grup içindeki başka bir hesabı taklit etme izni vermem gerekiyor. Çok etkili bir şekilde, hizmet hesabım şimdi 'Ah, ben Barnie@otherdomain.com' diyor. Bunun başka bir alan adı için kurulduğunu biliyorum - ama katılmadan önce ve bunu nasıl başardıklarını bilmiyorum!

Ben bir geliştiriciyim, ama nerede olduğumun dizin yöneticisi insanlar ne yapacağımı bilmiyor gibi görünüyor. Herhangi bir yardım büyük mutluluk duyacağız!

Arıyorsun:

Yerel İlkeler -> Kullanıcı Hakları Ataması altındaki Yerel Güvenlik İlkesi'nde "Kimlik doğrulamasından sonra bir istemcinin kimliğine bürünme"

NTRights'ı "SeImpersonatePrivilege" ile de kullanabilirsiniz

ntrights.exe + r SeImpersonatePrivilege -u etki alanı \ kullanıcı

Tam olarak ne yapmaya çalıştığınızdan emin değilim, ancak o kullanıcı olarak bir uygulamayı (komut istemi gibi) çalıştırmaya çalışıyorsanız, runaskomutu kullanın:

runas /user:domain\user cmd
runas /user:user@domain.com iexplore.exe

Bu, belirtilen etki alanı hesabı olarak çalışan bir komut istemi açar. (Çalıştığınız makinenin bu alana nasıl ulaşacağını bilmesi gerektiğini unutmayın ....)

Cmd'yi çalıştırmak, o kullanıcı - alt süreçleri ebeveyn hesabının altında ortaya çıktığı için, diğer kimlik bilgisi verilen hesap olarak herhangi bir şeyi (komut dosyaları, diğer uygulamalar, explorer pencereleri) çalıştırmanıza izin verebilir.

(Bu, sorunuza cevap vermiyorsa, lütfen ne yapmaya çalıştığınızı netleştirin.)