「保護されたユーザー」を実装し、どこにも解決策を見つけることができなかったこの問題に遭遇しました。委任権限を持つドメインにコンピューターを参加させることはできません。代わりに、「ワークステーションをドメインに追加する」権限がグループに割り当てられました。
幅広い背景:
保護されたユーザーのメンバーはKerberos認証の使用を強制されることを理解しています。実際、これは、このグループのメンバーにComputersコンテナに対する次のアクセス許可を許可するワークステーションに参加しようとしたときに表示されるものです。
「コンピューター」コンテナーでの委任:
コンピュータオブジェクトの作成-このオブジェクトとすべての子孫
アカウントの読み取り/書き込み制限-子孫コンピューターオブジェクト
検証済みのサービスプリンシパル名への書き込み-子孫コンピューターオブジェクト
DNSホスト名への検証済み書き込み-子孫コンピューターオブジェクト
すべての子オブジェクトを作成します-子孫コンピューターオブジェクト
パスワードのリセット-子孫コンピューターオブジェクト
「保護されたユーザー」グループメンバーシップを持つユーザーと「保護されたユーザー」グループメンバーシップを持たないユーザーの2人のユーザーでテストされました。両方のユーザーは、委任グループの一部です。
自分自身をテストします。
コンピューターをドメインに追加しようとすると、保護されたユーザーグループのないユーザーがワークステーションをドメインに正常に追加します。保護されたユーザーグループを持つユーザーは、「アカウントの制限により、このユーザーはサインインできません」というエラーが表示されます。 ProtectedUserFailures-DomainControllerでNTLM認証の失敗を確認できます
ただし、両方のユーザーが属するグループを追加して「ドメインにワークステーションを追加」を許可するようにグループポリシーを変更すると、両方の結果が成功に変わります。これで、ProtectedUserSuccesses-Kerberos認証を使用するDomainControllerの下に情報が表示されます。
だから私の質問は:どのメカニズムが機能していて、同じ結果を達成するためにどの権限を委任できますか、またはこれは不可能ですか?単純な委任では許可されないのに、ユーザー権利によって「保護されたユーザー」グループのメンバーに対してこのアクションを完了できるのはなぜですか。
誰かが尋ねる前に、これはテストされ、prodで動作するだけでなく、上記の情報を使用して再作成できる簡単なテスト環境でも機能します。
Computersコンテナに委任されたアクセス許可を適用することにより、Microsoftの明示的な推奨事項に違反しているため、これが問題であると思われます。
From デフォルトのコンテナとOUの管理の委任 :
ユーザーまたはコンピューターの制御を委任する必要がある場合は、ユーザーおよびコンピューターのコンテナーのデフォルト設定を変更しないでください。代わりに、(必要に応じて)新しいOUを作成し、ユーザーオブジェクトとコンピューターオブジェクトをデフォルトのコンテナーから新しいOUに移動します。必要に応じて、新しいOUの制御を委任します。デフォルトのコンテナを制御するユーザーを変更しないことをお勧めします。
したがって、基本的には、従来のコンピューターコンテナと対応する「ドメインにワークステーションを追加する」権利またはを使用できますが、委任された権限を持つ適切なOUを使用できます。委任されたアクセス許可を使用することを期待されていないレガシーコンピューターコンテナーを使用することを選択します。したがって、Microsoftが保護されたユーザーを実装したときにこの特定のシナリオをテストしなかったことは驚くべきことではありません。
個別のOUを使用している場合、新しいコンピューターをドメインに参加させることは2段階のプロセスになることに注意してください。コンピューターをドメインに参加させる前に、目的のOUにコンピューターオブジェクトを明示的に作成する必要があります。
より投機的に:
新しいコンピューターがドメインに参加しようとして、既存のコンピューターオブジェクトがないことを検出すると、現在のプロセスが失敗している可能性があります。その場合、コンピューターコンテナーに自動的に作成されます。従来のシナリオでのみ必要とされるこの自動化されたプロセスは、2つの方法のいずれかでコンピューターを作成する方法しか知らないようです。1つは「ドメインにワークステーションを追加」特権を必要とし、もう1つはNTLMを使用します。認証。
ここでのNTLMの使用は、関連するプロトコルに固有の制限である場合もあれば、このシナリオでWindowsクライアントによって使用されるレガシーコードの成果物である場合もあります。原則として、サーバーとクライアント間のトラフィックをキャプチャすることでこのプロセスをリバースエンジニアリングできると思いますが、これに伴う労力はおそらく価値がありません。
いずれにせよ、保護されたユーザーに、新しいコンピューターをドメイン。このプロセスは、「ワークステーションをドメインに追加する」権限がなくても機能することがわかると思います。