本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

允许计算机和用户帐户被信任可以进行委派

 

适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

介绍本安全策略参考主题面向 IT 专业人员的最佳实践、 位置、 值、 策略管理和有关此策略设置的安全注意事项。

此策略设置确定哪些用户可以设置信任可以进行委派在用户或计算机对象上设置。

安全帐户委托提供能够连接到多个服务器和每个服务器更改将保留原始客户端的身份验证凭据。 委派的身份验证是一项功能,它们具有多个层时客户端和服务器应用程序使用。 它允许要使用客户端凭据对应用程序进行身份验证的面向公众的服务或数据库服务。 为此配置中成为可能,客户端和服务器必须信任可以进行委派的帐户下运行。

只有具有的管理员允许计算机和用户帐户被信任可以进行委派凭据可以设置委派。 域管理员和企业管理员具有此凭据。 要允许用户为受信任可以进行委派的过程取决于域的功能级别。

被授予此权限的用户或计算机对象必须具有写入访问权限的帐户控制标志。 服务器正运行的进程的计算机上 (或在用户上下文) 即信任可以进行委派可以通过使用客户端的委派的凭据来访问另一台计算机上的资源。 但是,客户端帐户必须对对象具有写入访问权限的帐户控制标志。

此策略设置中指定的 Windows 的版本上支持应用于本主题开头的列表。

常量:SeEnableDelegationPrivilege

  • 用户定义的帐户的列表

  • 未定义

  1. 任何理由此用户将权限分配给任何人都在成员服务器和工作站上属于某个域因为在这些上下文中没有任何意义。 它才是相关域控制器和独立的计算机上的。

G p o\Computer Configuration\Windows 设置 \ 安全设置 \ 本地策略 \ 用户权限分配

下表列出最新的受支持版本的 Windows 的实际和有效的默认策略值。 默认值还会列出该策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

未定义

独立服务器默认设置

未定义

域控制器有效默认设置

Administrators

成员服务器有效默认设置

Administrators

客户端计算机有效默认设置

Administrators

在此策略设置中指定的 Windows 的受支持版本之间的工作的方式没有差别应用于本主题开头的列表。 但是,配置此策略设置可能必须在服务器上的不同效果如果这些服务器都具有不同的域功能级别。

本部分介绍功能、 工具和指南来帮助你管理此策略。

修改此设置可能会影响与客户端、 服务和应用程序的兼容性。

重新启动计算机不需要为此策略设置才能生效。

该帐户的所有者在下次登录的时,帐户用户权限分配到的任何更改才会生效。

在默认域控制器组策略对象 (GPO) 和工作站和服务器的本地安全策略中定义此用户权限。

按以下顺序通过组策略对象 (GPO),这将覆盖在下一步的组策略更新本地计算机上的设置应用设置:

  1. 本地策略设置

  2. 网站策略设置

  3. 域策略设置

  4. OU 策略设置

当本地设置灰显时,它表示一个 GPO 当前控制该设置。

本部分将介绍攻击如何利用一项功能或其配置中,如何实现对策一样,以及可能的对策实现的负面后果。

滥用允许计算机和用户帐户被信任可以进行委派用户权限可能允许未经授权的用户来模拟网络上的其他用户。 攻击者可以利用此权限才能访问网络资源,使之难以确定安全事件之后发生。

允许计算机和用户帐户被信任可以进行委派仅当有显然应该分配用户权利的用户需要为其功能。 当分配此权限时,您应该调查使用约束委派来控制委派的帐户可以执行哪些操作。 在域控制器上默认情况下此权限分配到管理员组。

System_CAPS_note注意

任何理由此用户将权限分配给任何人都在成员服务器和工作站上属于某个域因为在这些上下文中没有任何意义。 它才是相关域控制器和独立的计算机上的。

无。 未定义是默认配置。

显示: