Abs Asked: 2015-08-22 08:00:31 +0800 CST2015-08-22 08:00:31 +0800 CST 2015-08-22 08:00:31 +0800 CST 是否有一种简单的方法可以为所有域控制器设置 Active Directory 约束委派 772 我们已经为我们域中的服务帐户配置了 AD 约束委派,并且原则上我们已经让一切正常工作。但是,为此,我们必须为特定域控制器设置 LDAP 委派。对我们来说,这种方法的缺点是,如果我们引入一个新的 DC,如果我们未能更新我们的代表团以包含新的 DC,我们可能会出现服务中断。有没有办法委派给域中的任何/所有 DC,或者一次只能做一个? active-directory 1 个回答 Voted Best Answer iPath 2015-08-24T05:27:35+08:002015-08-24T05:27:35+08:00 在所有情况下,Kerberos 委派配置都是一项敏感操作,应由受信任的管理员手动手动完成。由于 SPN 包含提供特定服务的计算机的名称,因此不可能一次指定“所有 DC”。那是因为您将来无法知道下一个 DC 的名称是什么。 因此,我建议将 SPN 配置步骤添加到您提升 DC 的程序中。 事实上,Kerberos 约束委派 UI 填充了“msDS-AllowedToDelegateTo”属性。因此,使用 PowerShell 自动化委派会很容易,例如: $userWithConstrainedDelegation = "put_username_here" $domain = Get-ADDomain $user = Get-ADUser $userWithConstrainedDelegation -Properties "msDS-AllowedToDelegateTo" $spns = @() $spnsToAdd = @() #// Get all domain controllers in the current domain Get-ADDomainController -Filter * | % { #// Construct SPNs (an example for ldap SPN) $spns += "ldap/{0}" -f $_.Name $spns += "ldap/{0}" -f $_.HostName $spns += "{0}/{1}" -f $s1,$domain.NetBIOSName #// Check if SPN should be added foreach($service in $spns){ if ($user.'msDS-AllowedToDelegateTo' -inotcontains $service){ "ADDING: {0}" -f $service $spnsToAdd += $service } } $spns = @() } #// Add missing SPNs if ($spnsToAdd.Count -gt 0){ Set-ADObject $user -Add @{ "msDS-AllowedToDelegateTo" = $spnsToAdd } } 注意:此脚本仅用于演示!它未经测试,可能包含错误。使用前在 LAB 中进行测试! 同样,这是敏感操作。如果选择自动化,请务必签署 PowerShell 脚本以防止篡改。
在所有情况下,Kerberos 委派配置都是一项敏感操作,应由受信任的管理员手动手动完成。由于 SPN 包含提供特定服务的计算机的名称,因此不可能一次指定“所有 DC”。那是因为您将来无法知道下一个 DC 的名称是什么。
因此,我建议将 SPN 配置步骤添加到您提升 DC 的程序中。
事实上,Kerberos 约束委派 UI 填充了“msDS-AllowedToDelegateTo”属性。因此,使用 PowerShell 自动化委派会很容易,例如:
注意:此脚本仅用于演示!它未经测试,可能包含错误。使用前在 LAB 中进行测试!
同样,这是敏感操作。如果选择自动化,请务必签署 PowerShell 脚本以防止篡改。