Welche AD-Berechtigung ist erforderlich, um den Identitätswechsel eines Kontos zuzulassen?

Ich habe ein Windows-Dienstkonto. Ich muss ihm die Berechtigung erteilen, ohne Delegierung die Identität eines anderen Kontos innerhalb einer Gruppe in einer anderen vertrauenswürdigen Domäne anzunehmen. Mein Dienstkonto lautet nun effektiv "Oh, ich bin [email protected]". Ich weiß, dass es möglich ist, weil es für eine andere Domain eingerichtet wurde - aber bevor ich dazu kam, weiß ich nicht, wie sie es gemacht haben!

Ich bin ein Entwickler, aber die Verzeichnisverwalter, in denen ich bin, scheinen nicht zu wissen, was zu tun ist. Jede Hilfe wäre sehr dankbar!

Du schaust nach:

"Identitätswechsel nach Authentifizierung" in der lokalen Sicherheitsrichtlinie unter Lokale Richtlinien -> Zuweisen von Benutzerrechten

Sie können NTRights auch mit "SeImpersonatePrivilege" verwenden.

ntrights.exe + r SeImpersonatePrivilege -u Domäne \ Benutzer

Ich bin mir nicht sicher, was Sie genau versuchen, aber wenn Sie einfach versuchen, eine Anwendung (z. B. eine Eingabeaufforderung) als dieser Benutzer auszuführen, verwenden Sie den folgenden runasBefehl:

runas /user:domain\user cmd
runas /user:[email protected] iexplore.exe

Dadurch wird eine Eingabeaufforderung geöffnet, die als das angegebene Domänenkonto ausgeführt wird. (Beachten Sie, dass der Computer, auf dem Sie ausgeführt werden, wissen muss, wie er diese Domäne erreicht.)

Wenn Sie cmd ausführen, können Sie alles (Skripte, andere Apps, Explorer-Fenster) als das Konto mit anderen Anmeldeinformationen als der Benutzer ausführen. Untergeordnete Prozesse werden unter dem Konto des übergeordneten Benutzers erstellt.

(Falls dies Ihre Frage nicht beantwortet, klären Sie bitte, was Sie tun möchten.)