问题:我无法通过将计算机帐户添加到已被授予将组添加到该 OU 权限的安全组来授予计算机帐户将组添加到 OU 的权限。
原因:在我们的环境中,资源总是使用角色组呈现给用户。此处的资源是授予域本地安全组的特定 OU 的权限。角色是全局安全组,用户是计算机帐户。用户是计算机帐户的原因是需要权限的脚本在该服务器上的 SYSTEM 帐户下运行。
设置:
我已经测试过的:
- 如果我将权限直接委托给计算机帐户,它就可以工作。
- 如果我将用户放在角色组中,该用户可以执行脚本。
我想要什么:
- 使此设置正常工作的解决方案(也许我忽略了一些东西)
- 或者解释为什么这不起作用(然后我会尝试找到其他解决方案)
因此,由于 Greg Askew 的评论,我找到了解决方案
我使用PsExec和klist 命令清除了系统帐户的 Kerbros 密钥
我进入了一个交互式系统会话,然后清除了 Kerbros 密钥。
我更喜欢这种方法而不是重新启动,因为重新启动服务器并不总是可能的。
对我来说,从标题的内容来看,这非常有帮助。我只是在一个集群上做了一些类似的事情,当阅读关于 TGT 的信息时,这很有意义,我只是分配了组并重新启动了集群 CNO 并且它工作了,我有点不确定计算机是否也需要重新启动。