Проблема при настройке делегирования в междоменной учетной записи AD

Question

В нашей тестовой среде 2 домена. Установлено одностороннее доверие, а затем мы перешли на двустороннее, но все еще не работает.

Я хочу настроить делегирование на domainA / userA. На вкладке Delegation я выбираю Trust this user for delegation to specificed services only. Затем в Services to which this account can present delegated credentials я пытаюсь найти domainB / ssrs (учетная запись службы отчетов SQL), но не могу найти ни одного пользователя в domainB. Однако я могу настроить делегирование между domainB / userB с помощью domainB / ssrs.

У меня нет опыта делегирования или Kerberos. Не могли бы вы посоветовать, возможно ли междоменное делегирование? Если да, что мне делать?

Answer 1

Стандартное ограниченное делегирование не может выполняться между доменами. Вам нужно Ограниченное делегирование на основе ресурсов . Суть этого в том, что решение о том, кому разрешено делегировать полномочия, отменяется, поэтому тот, кто предоставляет привилегию, на самом деле является службой, которой делегируются, в отличие от службы, пытающейся сделать делегирование, чтобы принять решение.

Вы не можете сделать это из пользовательского интерфейса. Это должно быть сделано через PowerShell.

$frontEndService = Get-ADUser -Identity "web01$"

Set-ADUser "backend01$" -PrincipalsAllowedToDelegateToAccount $frontEndService

При регулярном ограниченном делегировании web01$ может диктовать, что он может делегировать backend01$, а backend01$ не имеет права голоса в этом вопросе. Это в корне странно для некоторых сред, поэтому ограниченное делегирование на основе ресурсов переворачивает его, так что backend01$ может сказать, что только web01$ может делегировать мне.

Побочным эффектом этого является то, что теперь вы можете одноранговый узел через границу домена и разрешить сервисам делегирование.