將工作站作為受保護使用者組的成員加入域(委託與使用者權限)
實施“受保護的使用者”並遇到這個我無法在任何地方找到解決方案的問題。無法將電腦加入具有委派權限的域。而是將“將工作站添加到域”權限分配給了一個組。
廣泛的背景:
據我了解,受保護使用者的成員將被迫使用 Kerberos 身份驗證。事實上,這是我在嘗試加入工作站時看到的,允許該組的成員對電腦容器具有以下權限:
“電腦”容器中的委派:
- 創建電腦對象 - 此對象和所有後代
- 讀/寫帳戶限制 - 後代電腦對象
- 驗證寫入服務主體名稱 - 後代電腦對象
- 驗證寫入 DNS 主機名 - 後代電腦對象
- 創建所有子對象 - 後代電腦對象
- 重置密碼 - 後代電腦對象
對兩個使用者進行了測試:具有“受保護使用者”組成員資格的使用者和沒有“受保護使用者”組成員資格的使用者。兩個使用者都是委派組的一部分。
測試自己:
嘗試將電腦添加到域時,沒有受保護使用者組的使用者成功地將工作站添加到域。具有受保護使用者組的使用者將收到錯誤消息:“帳戶限制正在阻止此使用者登錄”。我可以在 ProtectedUserFailures-DomainController 下看到 NTLM 身份驗證失敗
但是,通過添加兩個使用者所屬的組來更改組策略以允許“將工作站添加到域”,這將改變兩者的成功結果。現在我可以通過 Kerberos 身份驗證在 ProtectedUserSuccesses-DomainController 下看到資訊。
所以我的問題是:什麼機制在起作用,我可以委託什麼權限來實現相同的結果,或者這是不可能的?為什麼使用者權限允許為“受保護的使用者”組的成員完成此操作,而簡單委派卻不允許?
在任何人問之前,這已經過測試並且可以在 prod 以及一個簡單的測試環境中工作,您可以使用上面的資訊重新創建。
我懷疑這是一個問題,因為您通過將委派權限應用於電腦容器而違反了 Microsoft 的明確建議。
如果您需要委派對使用者或電腦的控制,請不要修改使用者和電腦容器的預設設置。相反,創建新的 OU(根據需要)並將使用者和電腦對像從其預設容器移動到新的 OU 中。根據需要委派對新 OU 的控制。我們建議您不要修改誰控制預設容器。
因此,基本上您可以使用舊版電腦容器和相應的“將工作站添加到域”權限,或者您可以使用具有委派權限的適當 OU,但如果您選擇使用舊版電腦容器,則預計不會使用委派權限。因此,微軟在實施受保護的使用者時沒有測試這個特定場景也就不足為奇了!
請注意,如果您使用單獨的 OU,將新電腦加入域將分為兩步:您必須在將電腦加入域之前在所需的 OU 中顯式創建電腦對象。
更具推測性:
當新電腦嘗試加入域並發現不存在現有電腦對象時,您目前的程序似乎正在下降,在這種情況下,它會自動在電腦容器中創建一個。似乎這個僅在遺留場景中需要的自動化過程只知道如何以兩種方式中的任何一種方式創建電腦,其中一種需要“將工作站添加到域”權限,另一種使用 NTLM驗證。
此處使用 NTLM 可能是相關協議的固有限制,也可能只是此場景中 Windows 客戶端使用的遺留程式碼的產物。我想您原則上可以通過擷取伺服器和客戶端之間的流量來對這個過程進行逆向工程,但這可能不值得付出努力。
無論如何,您可以通過讓受保護使用者在嘗試將新電腦加入域。我懷疑您會發現即使沒有“將工作站添加到域”權限,此過程也可以正常工作。