Izin AD mana yang diperlukan untuk memungkinkan peniruan akun?

Saya memiliki akun layanan Windows. Saya perlu memberinya izin untuk menyamar sebagai akun lain dalam grup di domain tepercaya lain, tanpa delegasi. Begitu efektif, akun layanan saya mengatakan 'Oh, saya [email protected]' sekarang. Saya tahu itu mungkin karena sudah diatur untuk domain lain - tetapi sebelum saya bergabung, dan saya tidak tahu bagaimana mereka melakukannya!

Saya seorang pengembang, tetapi orang-orang direktori admin di mana saya tampaknya tidak tahu apa yang harus dilakukan. Bantuan apa pun akan sangat dihargai!

Kamu sedang mencari:

"Menyamar sebagai klien setelah otentikasi" di Kebijakan Keamanan Lokal di bawah Kebijakan Lokal -> Penugasan Hak Pengguna

Anda juga dapat menggunakan NTRight dengan "SeImpersonatePrivilege"

ntrights.exe + r SeImpersonatePrivilege -u domain \ pengguna

Saya tidak yakin apa yang Anda coba lakukan dengan tepat, tetapi jika Anda hanya mencoba menjalankan aplikasi (seperti command prompt) sebagai pengguna itu, Anda menggunakan runasperintah:

runas /user:domain\user cmd
runas /user:[email protected] iexplore.exe

Ini akan membuka prompt perintah yang berjalan seperti akun domain yang ditentukan. (Perhatikan bahwa mesin yang Anda jalankan perlu mengetahui cara menjangkau domain itu ....)

Menjalankan cmd dapat memungkinkan Anda untuk menjalankan apa pun (skrip, aplikasi lain, jendela penjelajah) karena akun kredensial lainnya sebagai pengguna - proses anak yang dihasilkan di bawah akun induk.

(Jika ini tidak menjawab pertanyaan Anda, harap jelaskan apa yang Anda coba lakukan.)