作为受保护用户组的成员将工作站加入域(委托与用户权限)

Question

实现“受保护的用户”，并遇到这个问题，我找不到任何地方的解决方案。无法使用委托权限将计算机连接到域。相反，“将工作站添加到域”的权限分配给了一个组。

广泛的背景：

据我理解，受保护用户的成员将被迫使用Kerberos身份验证。实际上，在试图加入工作站时，我看到了这样的情况:允许此组的成员对计算机容器拥有以下权限：

出席“电脑”货柜的代表团：

• 创建计算机对象-此对象和所有后代
• 读/写帐户限制-子代计算机对象
• 验证了对服务主体名称的写入-子代计算机对象
• 验证写到DNS主机名-子代计算机对象
• 创建所有子对象-子代计算机对象
• 重置密码子代计算机对象

在两个用户上进行测试:具有“受保护用户”组成员资格的用户和没有“受保护用户”组成员资格的用户。这两个用户都是委托组的一部分。

测试本身：

当试图将计算机添加到域时，没有受保护的用户组成功地将工作站添加到域。具有受保护用户组的用户将收到一个错误：“帐户限制阻止此用户登录”。我可以看到ProtectedUserFailures-DomainController下的NTLM身份验证失败

但是，通过添加两个用户所属的组来更改组策略以允许“向域添加工作站”，将在这两种情况下将结果更改为成功。现在，我可以在ProtectedUserSuccesses和Kerberos身份验证下看到信息。

因此，我的问题是:有哪些机制在发挥作用，我可以委派哪些权限来实现相同的结果，或者这是不可能的？为什么用户权限允许“受保护用户”组的成员完成此操作，而简单的委托则不允许？

在任何人询问之前，这是经过测试并在prod中工作的，以及一个简单的测试环境，您可以使用上面的信息重新创建。

Answer 1

我怀疑这是一个问题，因为您通过向计算机容器应用委托权限违反了Microsoft的明确建议。

来自默认容器和of的委托管理：

如果需要对用户或计算机委派控制权，请不要修改用户和计算机容器上的默认设置。相反，创建新的OU(视需要)，并将用户和计算机对象从其默认容器移动到新的OU中。根据需要，委托对新OU的控制。我们建议您不要修改控制默认容器的人。

因此，基本上您可以使用遗留计算机容器和相应的“向域添加工作站”权限，也可以使用适当的OU和委托权限，但是如果选择使用遗留计算机容器，则不需要使用委托权限。因此，微软在实现受保护用户时没有测试这一特定场景，这一点也就不足为奇了！

请注意，如果您使用的是单独的OU，则将新计算机连接到域是一个两步的过程:在将计算机连接到域之前，必须在所需的OU中显式创建计算机对象。

更多地推测：

当新计算机试图加入域并发现没有现有的计算机对象时，您的当前进程可能会下降，在这种情况下，它会在计算机容器中自动创建一个。这个自动化过程只在遗留场景中需要，它只知道如何以两种方式创建计算机，其中一种需要“将工作站添加到域”特权，另一种则使用NTLM身份验证。

在这里使用NTLM可能是相关协议的固有限制，也可能只是Windows客户端在此场景中使用的遗留代码的伪制品。我想，原则上您可以通过捕获服务器和客户端之间的通信量来反向工程这个过程，但这可能不值得付出这么大的努力。

无论如何，您可以通过让受保护的用户在计算机容器中显式创建新的计算机对象(使用已在域中的计算机中使用Active Directory用户和计算机)来测试此理论，然后尝试将新计算机加入到域中。我怀疑您会发现，即使没有“将工作站添加到域”特权，此过程也能工作。

Answer 2

对于将来会在这里结束的用户，我可以在受保护的用户组中使用powershell: Add "example.org“-OUPath "OU=Delegated OU，DC=example，DC=org”-DomainCredential示例\user将计算机加入到我的域中。

注意，使用-Credential开关使其成为NTLM，需要使用-DomainCredential。