Intereting Posts
如何删除^ m符号
无处不在Powerstation无线交换机端口不工作
SSH到最后的当前位置
PCI Extender和1GB以太网性能
我的EC2竞价型实例卷会与实例一起死掉吗?
路由到terminal服务群集
连接到Windows Server 2008 R2后,RDP会立即退出
php-fpm是否可以为单个用户池的多个虚拟主机dynamic设置open_basedir?
失败的2003r2域控制器
尾巴,grep和计数在一个命令中find的实例?
如何将Windows设置为使用外部RADIUS服务器进行用户身份validation以共享文件夹?
将redis dump.rdb服务器复制到新服务器,仅从内存中加载<5 MB而不是从之前的服务器加载1 GB
在Apache HTTP Server 2.2.21和Tomcat 7.0.23上使用mod_proxy_ajp进行负载平衡和群集
行业标准的最低无线信号强度?
IP地址的变化
如何将OU权限委托给嵌套在安全组中的计算机帐户?
问题 :我不能授予计算机帐户将组添加到OU的权限,方法是将该计算机帐户添加到已被授予将组添加到该OU的权限的安全组。
原因 :在我们的环境中,资源总是使用angular色组呈现给用户。 这里的资源是指定给域本地安全组的特定OU的权限。 angular色是全局安全组,用户是计算机帐户。 用户是计算机帐户的原因是因为需要权限的脚本正在该服务器上的SYSTEM帐户下运行。
设置 :
- Windows 2012 R2 ADpipe理员密码未过期
- 无法使用域帐户login到SQL Server Management Studio
- 为什么Active Directory中的相对标识符(rid)属性为空?
- 应用程序将GPO模板导入组策略pipe理
- ldap_bind:在使用AD的OpenLDAP中configurationSASL的Pass-Troughvalidation时,凭证(49)无效
我已经testing :
- 如果我直接将权限委托给它的计算机帐户,它的工作。
- 如果我把用户放在用户可以执行脚本的angular色组中。
我想要什么 :
- 一个解决scheme,使这个设置工作(也许我忽略了一些东西)
- 或者解释为什么这不起作用(然后我会尝试find其他解决scheme)
所以我find了解决scheme,感谢Greg Askew的评论
此外,如果将计算机添加到组中,计算机将不会选取组成员资格,直到计算机重新启动或清除并重新加载Kerberos TGT密钥。 – @GregAskew
我使用PsExec和klist命令清除了系统帐户的Kerbros密钥
我进入了一个交互式系统会话,然后清除Kerbros密钥。
PsExec.exe -s -i powershell.exe klist purge 由于重新启动服务器并不总是可能,所以我首选此方法重新启动。
对于我来说,从标题的写法是非常有帮助的。 我刚刚和一个集群做了一些类似的事情,在阅读关于TGT的时候非常有道理,我刚刚分配了这个组,并且重新启动了集群CNO并且工作,我还是不确定计算机是否需要重新启动。