Какое разрешение AD требуется, чтобы разрешить олицетворение учетной записи?

У меня есть учетная запись службы Windows. Мне нужно дать ему разрешение выдавать себя за другую учетную запись в группе в другом доверенном домене без делегирования. Так эффективно, моя учетная запись службы теперь говорит: «О, я Barnie@otherdomain.com». Я знаю, что это возможно, потому что это было настроено для другого домена - но до того, как я присоединился, и я не знаю, как они это сделали!

Я разработчик, но администраторы каталогов, где я, похоже, не знают, что делать. Любая помощь будет принята с благодарностью!

Вы ищете:

«Олицетворять клиента после аутентификации» в локальной политике безопасности в разделе «Локальные политики» -> «Назначение прав пользователя».

Вы также можете использовать NTRights с «SeImpersonatePrivilege»

ntrights.exe + r SeImpersonatePrivilege -u домен \ пользователь

Я не уверен, что именно вы пытаетесь сделать, но если вы просто пытаетесь запустить приложение (например, командную строку) от имени этого пользователя, вы используете runasкоманду:

runas /user:domain\user cmd
runas /user:user@domain.com iexplore.exe

Откроется командная строка, запущенная от имени указанной учетной записи домена. (Обратите внимание, что машина, на которой вы работаете, должна знать, как добраться до этого домена ....)

Запуск cmd может позволить вам запускать все что угодно (скрипты, другие приложения, окна проводника) от имени другой учетной записи, зарегистрированной как пользователь - дочерние процессы создаются под учетной записью родителя.

(Если это не отвечает на ваш вопрос, уточните, что вы пытаетесь сделать.)