问题[delegation](server)

我们的 WAC 安装 SSO（通过基于资源的委派）上周因未知原因停止工作，这让我发疯。尝试连接到 WebUI 中的托管客户端（其中任何一个）时，WAC 服务器上会记录以下事件：

A Kerberos error message was received:
 on logon session 
 Client Time: 
 Server Time: 19:6:29.0000 11/29/2021 Z
 Error Code: 0x29 KRB_AP_ERR_MODIFIED
 Extended Error: 0xc00000bb KLIN(0)
 Client Realm: 
 Client Name: 
 Server Realm: DOMAIN.COM
 Server Name: HTTP/accounting-02-m.domain.com
 Target Name: HTTP/[email protected]
 Error Text: 
 File: onecore\ds\security\protocols\kerberos\client2\kerbtick.cxx
 Line: 128d
 Error Data is in record data.

相应的错误 0x29 也会记录在目标 KDC 上。

对 WAC WebUI 的访问适用于用户，而远程 PowerShell 对 WAC 之外的目标计算机也适用于相同的用户。当 WAC 中的目标计算机被拒绝访问并提示凭据时，手动输入我的凭据允许访问。直接在 WAC 服务器上的 WebUI 允许按预期使用它通过 SSO 访问目标机器。这排除了权限问题，似乎指向双跳委托问题。

网络流量捕获显示了我自己访问 WAC$ 机器的 TGS-REQ/REP，然后我看到目标机器服务（即 HTTP/accounting-02-m.domain.com）的 TGS-REQ 和 KRB-选项“约束委托：真”，后跟 KRB5KRB_AP_ERR_MODIFIED 的 KRB-ERROR...

我检查了一个示例机器的委托，它看起来符合预期：

Path Owner                    Access  
---- -----                     ------ 
     BUILTIN\Administrators   DOMAIN\WAC$ Allow

我确保安全通道在服务器/目标和 DC 之间工作（无论如何我都重置了机器密码）

PS C:\> Test-ComputerSecureChannel
true

我检查 SPN 问题：

PS C:\> setspn -L accounting-02-m Registered ServicePrincipalNames for CN=ACCOUNTING-02-M,OU=Workstations,OU=Domain Computers,DC=domain,DC=com:
WSMAN/ACCOUNTING-02-M
WSMAN/ACCOUNTING-02-M.domain.com
TERMSRV/ACCOUNTING-02-M
TERMSRV/ACCOUNTING-02-M.domain.com
RestrictedKrbHost/ACCOUNTING-02-M
HOST/ACCOUNTING-02-M
RestrictedKrbHost/ACCOUNTING-02-M.domain.com
HOST/ACCOUNTING-02-M.domain.com

PS C:\> setspn -Q HTTP/accounting-02-m
Checking domain DC=domain,DC=com

No such SPN found.

我相信 SPN 映射应该注意 HOST->HTTP 等价性：

host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,w3svc,iisadmin

我用来klist purge -li 0x3e7在任何测试之前清除机器票。

WAC 服务器是 Win2019，服务作为“网络服务”运行，KDC 是 Win2019，客户端是 Win10 和 Win2012R2/2016/2019 的混合。所有涉及的机器（KDC、服务器、目标）上的时间增量最大为 1 秒。我们有一个单一的域森林。

由于在 KDC 上记录了此错误，我怀疑 KB5008380：

During TGS processing, the KDC was unable to verify the signature on the PAC from WAC$. This indicates the PAC was modified.

但是在域中的任何地方都找不到注册表项（也找不到安装在 KDC 上的更新）。

根据我对 Kerberos RFC 的理解，校验和由于传输中的票证更改而失败（不太可能），或者由于安全通道问题或 SPN 配置错误，服务无法解密票证，但所有这些看起来都已正确配置。

我在这里想念什么？什么坏了？

如果我在 DNS 中将网络和广播地址作为网络委派的一部分进行委派，是否会出现问题？

我正在遵循Zytrax上的无类别网络委派说明（3.3 反向映射委派）。

在 Zytrax（下面）的示例中，提到需要定义除网络和广播之外的所有地址。

; definition of our target 192.168.23.64/27 subnet 
; name servers for subnet reverse map
64/27         IN  NS  ns1.example.com.
64/27         IN  NS  ns2.example.com.
; IPs addresses in the subnet - all need to be defined
; except 64 and 95 since they are the subnets
; network and broadcast addresses not hosts/nodes
65            IN  CNAME   65.64/27.23.168.192.IN-ADDR.ARPA. ;qualified
66            IN  CNAME   66.64/27 ;unqualified name
..
..

我了解我不必委托网络和广播地址。

但是，如果我的区域文件中已经有具有网络和广播地址的委托，是否可以保留它们，或者我应该修复它以避免出现问题？

我最近一直在研究 DNS，目前使用 DIG 命令收到以下错误消息：

BAD (HORIZONTAL) REFERRAL

据我了解，这是由于委托名称查找而不遍历“DNS 树”而引起的。与代表“DNS 树”的垂直引荐不同，水平引荐代表如下名称：

（来自“google.com”区域的名称服务器的虚构示例答案）

;; QUESTION SECTION:
;123.google.com. IN A

;; AUTHORITY SECTION:
a.123.google.com. 7200 IN NS ns1.321.google.com.
a.123.google.com. 7200 IN NS ns2.321.google.com.
a.123.google.com. 7200 IN NS ns3.321.google.com.

当您询问上述指定的名称服务器之一时，将返回以下答案：

;; QUESTION SECTION:
;123.google.com. IN A

;; AUTHORITY SECTION:
a.123.google.com. 7200 IN NS ns4.321.google.com.
a.123.google.com. 7200 IN NS ns5.321.google.com.
a.123.google.com. 7200 IN NS ns6.321.google.com.

这种情况会一直持续下去，而不会靠近可以实际回答“a.123.google.com”请求的名称服务器。

回到我的问题：

通常不允许横向推荐，还是仅此特定情况是不好的横向推荐？

我的任务是将我们领域中的一些日常任务委派给一群没有Domain Admins会员资格的技术人员。其中一项任务是创建新的基于域的 Dfs 根（Server 2008 R2 Enterprise DC）。这就是我卡住的地方。

c0de

这基本上只是试图创建一个基于域的 Dfs 根，使用任意（列表中的第一个）域控制器作为第一个命名空间服务器：

$DfsnRootName="test"
$DCList = Get-ADDomainController -Filter * | ForEach-Object { ,$_.HostName } 
New-DfsnRoot -Path "\\domain.contoso.com\$DfsnRootName" -TargetPath "\\$($DCList[0])\$dfsnRootName" `
             -Description "Dfs-Root für $DfsnRootName" -EnableAccessBasedEnumeration $true -Type DomainV2
$DCList | ForEach-Object {
    New-DfsnRootTarget -Path "\\domain.contoso.com\$DfsnRootName" `
                       -TargetPath "\\$_\$dfsnRootName" -State Online
}

错误0r

上面的代码抛出一个异常，提到缺少对 CIM 资源的访问权限。CategoryInfoROOT\Microsoft\Windows\DFSN\MSFT_DFSNamespace中给出的路径类似于 WMI 路径：

New-DfsnRoot : Access to a CIM resource was not available to the client.
At line:1 char:1
+ New-DfsnRoot -Path "\\domain.contoso.com\$DfsnRootName" -TargetPath "\\$($DCList ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (MSFT_DFSNamespace:ROOT\Microsoft\...FT_DFSNamespace) [New-DfsnRoot], CimException
    + FullyQualifiedErrorId : MI RESULT 2,New-DfsnRoot


PS Z:\> $Error[0].CategoryInfo


Category   : PermissionDenied
Activity   : New-DfsnRoot
Reason     : CimException
TargetName : MSFT_DFSNamespace
TargetType : ROOT\Microsoft\Windows\DFSN\MSFT_DFSNamespace

无奈的 res0luti0n 尝试：

我通过 Dfs 控制台为整个域拥有“委派管理权限”：

这实际上只是为添加到CN=Dfs-Configuration,CN=SystemAD 容器的主体添加“完全控制”ACE。

当我在使用“添加 Dfs root”向导时收到错误指示服务控制管理器上缺少权限时dfsmgmt.msc，我曾经sc sdset scmanager操纵 SDDL 字符串添加具有“KA”（密钥访问）权限的相应组，类似于BUILTIN\AdministratorsACE默认情况下存在。

这样，我可以使用“添加 Dfs 根”向导完成所有步骤，但根本身的创建仍然失败 - “无法添加命名空间服务器 \ADSRV0\Test。访问被拒绝”

W00吨？

我需要使用从服务器 A 到 B 的 credSSP 身份验证打开 Powershell 远程会话。但是，服务器 A 无法解析 B 的名称。在 A 上启用了 CredSSP 以传递凭据（在“允许委派新凭据”中启用 WSMAN/xxx.xxx .xxx.xxx) 到 B，B 被配置为接收委托凭证。是否有可能以某种方式使用 IP 地址而不是主机名/FQDN 打开 credssp？

PS C:\Windows\system32> New-PSSession xxx.xxx.xxx.xxx -Authentication Credssp -Credential user
New-PSSession : [xxx.xxx.xxx.xxx] Connecting to remote server xxx.xxx.xxx.xxx failed with the following error message : The WinRM c
lient cannot process the request. A computer policy does not allow the delegation of the user credentials to the target
 computer because the computer is not trusted. The identity of the target computer can be verified if you configure the
 WSMAN service to use a valid certificate using the following command: winrm set winrm/config/service '@{CertificateThu
mbprint="<thumbprint>"}'  Or you can check the Event Viewer for an event that specifies that the following SPN could no
t be created: WSMAN/<computerFQDN>. If you find this event, you can manually create the SPN using setspn.exe .  If the
SPN exists, but CredSSP cannot use Kerberos to validate the identity of the target computer and you still want to allow
 the delegation of the user credentials to the target computer, use gpedit.msc and look at the following policy: Comput
er Configuration -> Administrative Templates -> System -> Credentials Delegation -> Allow Fresh Credentials with NTLM-o
nly Server Authentication.  Verify that it is enabled and configured with an SPN appropriate for the target computer. F
or example, for a target computer name "myserver.domain.com", the SPN can be one of the following: WSMAN/myserver.domai
n.com or WSMAN/*.domain.com. Try the request again after these changes. For more information, see the about_Remote_Trou
bleshooting Help topic.
At line:1 char:1
+ New-PSSession xxx.xxx.xxx.xxx -Authentication Credssp -Credential user

问题：我无法通过将计算机帐户添加到已被授予将组添加到该 OU 权限的安全组来授予计算机帐户将组添加到 OU 的权限。

原因：在我们的环境中，资源总是使用角色组呈现给用户。此处的资源是授予域本地安全组的特定 OU 的权限。角色是全局安全组，用户是计算机帐户。用户是计算机帐户的原因是需要权限的脚本在该服务器上的 SYSTEM 帐户下运行。

设置：

我已经测试过的：

• 如果我将权限直接委托给计算机帐户，它就可以工作。
• 如果我将用户放在角色组中，该用户可以执行脚本。

我想要什么：

• 使此设置正常工作的解决方案（也许我忽略了一些东西）
• 或者解释为什么这不起作用（然后我会尝试找到其他解决方案）

我想将TestUsers组织单位的控制权委托给用户NickA并为其授予以下权限：

1. Create, delete, and manage user accounts
2. Reset user passwords and force password change at next logon
3. Read all user information
4. Create, delete and manage groups
5. Modify the membership of a group

我找到的唯一方法如下，但我找不到要分配的正确权限：

$acc  = Get-ADUser NickA
$sid  = new-object System.Security.Principal.SecurityIdentifier $acc.SID
$guid = new-object Guid bf967aba-0de6-11d0-a285-00aa003049e2 
$ou   = Get-ADOrganizationalUnit -Identity TestUsers
$acl  = Get-ACL -Path "AD:$($ou.DistinguishedName)"
$acl.AddAccessRule($(new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid,"CreateChild,DeleteChild","Allow",$guid))
Set-ACL -ACLObject $acl -Path "AD:$($ou.DistinguishedName)"

寻找有关如何设置我们的 IT 管理员授权和服务器访问的一些建议或技巧。我从一个新组织开始，发现每个 IT 员工都是域管理员。看起来这让每个人都可以在域和服务器上做他们需要做的事情。我已经开始尝试组织每个人并让他们获得他们真正需要的东西的过程。寻找有关如何设置环境的建议？我们不是一个大型组织，在一个特定时间拥有 10 到 15 名 IT 员工。这是我想做的事情。

1：创建 2 个新的安全组。1 个用于帮助台，1 个用于服务器操作员。为帮助台委派添加计算机和重置密码的权限。服务器操作员将具有相同的权限，但也会将该组添加为他们需要访问的服务器的管理员。仍然有 2 个域管理员可以完全控制。

2：为这两个新组授予对所有共享的访问权限，以便他们可以帮助用户处理已删除的文件或任何其他常见任务。

将来，我将创建特定于应用程序的管理安全组，例如 CRMAdmins、ExchangeAdmin 等……我可以将用户投入到实际需要维护和在这些服务器上工作的用户中。

我担心的是，由于每个人都拥有完全访问权限，因此我可能会在尝试保护这件事时切断对用户的访问权限。任何想法或建议，如果这是一条好路径，或者关于如何布置它的任何想法，将不胜感激。我们在 Server 2012 域上运行。谢谢。

我们正在开发一种工具，该工具将使 Active Directory 用户对象的特定属性与其他地方的员工信息真相的权威来源保持同步，以便当某人的电话号码或经理或位置发生变化时，Active Directory 会自动更新。

对于普通用户，使用委托工具处理这些属性的委托操作很简单，但adminSDHolder应用了 ACL 的受保护用户则比较困难。

使用 UI将 ACE 添加到adminSDHolderACL 时，您只能授予对所有属性（出于安全原因我们不希望这样做）或adminSDHolder对象本身存在的属性的访问权限 - 而不是用户属性（如department.

您如何授予对受保护的用户对象的特定属性的访问权限adminSDHolder？

example.com 与注册商一起列出 - 特别是 answerable.com。

我想在内部托管一个子域，特别是 home.example.com。

我正在使用一个 ipv6 网关，特别是 gogo6，来拥有一个公共 IPv6 地址。IP 地址类似于 2001:xxxx:xx47。

然后http://[2001:xxxx:xx47]转到我的测试站点（IIS7 的一个实例）。我可以为我的主站点添加四 A 记录 - home.example.com AAAA 2001:xxxx:xx47。然后 http//home.example.com 正确加载。

我必须将所有 sub.home.example.com 的 A 或 quad-A 记录添加到我的 answerable.com DNS 管理器（例如 example.com）吗？或者我可以将对 *.home.example.com 的 DNS 查询委托给位于 [2001:xxxx:xx47] 的机器吗？

我尝试将 tunnel.example.com 的 AAAA 记录添加到 [2001:xxxx:xx47]，然后将 home.example.com 的 NS 条目添加到 tunnel.example.com，但浏览会导致“DNS 查找错误”来自我的浏览器。

这是一个可配置的场景吗？子域的 DNS 是否只能委托给 IPv4 地址？