Налаштування Windows для ввімкнення делегації облікового запису безпеки

На сервері Windows Server делегування облікового запису дозволяє делегувати ресурси через інші облікові записи без необхідності входити в систему як інший користувач. Завдяки ввімкненому доступу користувача до облікового запису всі захищені паролем дані на клієнтських комп'ютерах будуть доступні йому, що може призвести до значно менш захищеної мережі. Але підвищений контроль і ефективність для адміністраторів робить делегування облікового запису бажаним у деяких випадках.

1.

Натисніть кнопку "Пуск" і введіть "cmd" (без лапок і наступних команд) на панелі пошуку, щоб запустити командне вікно. Введіть "setspn", щоб переглянути список користувачів, які мають право на делегування облікового запису.

2.

Введіть команду "setspn", за якою йде атрибут "-a", якщо користувач, якого ви хочете включити, не входить до списку. Вкажіть протокол, який слід увімкнути, а потім косую чергу, сервер для включення, пробіл, а потім ім'я комп'ютера, який ви оновлюєте. Наприклад, щоб увімкнути HTTP для сервера "server1.example.com", введіть таку команду: setspn -a http / server1.example.com server1.

3.

Натисніть кнопку "Пуск" і запустіть диспетчер серверів. Натисніть "Ролі" в дереві каталогів з лівого боку вікна. Натисніть "Користувачі Active Directory", потім "Користувачі", щоб побачити користувачів у вашій мережі.

4.

Клацніть правою кнопкою миші ім'я користувача у вікні Користувачі та клацніть «Властивості». Клацніть на вкладці «Делегування» у вікні Властивості. Вкладка "Делегування" відображається лише для користувачів з активним основним ім'ям служби, що дозволяє клієнтам ідентифікувати певні доменні служби Active Directory.

5.

Натисніть "Обліковий запис довіряється для делегування", щоб включити делегування облікового запису для користувача. Натисніть "OK", щоб закрити вікно.

Порада

  • Обмежте доступ до облікового запису, вимкнувши делегування облікового запису для цього облікового запису. У Менеджері серверів клацніть правою кнопкою миші ім'я користувача та натисніть кнопку "Властивості". Перейдіть на вкладку "Обліковий запис" і встановіть прапорець біля пункту "Обліковий запис є чутливим і не може бути делеговано".
 

Залиште Свій Коментар