标签: delegation

我已经与 BIND 打交道多年，这一直困扰着我。

$ dig google.com ns

;; QUESTION SECTION:
;google.com.            IN  NS

;; ANSWER SECTION:
google.com.     87046   IN  NS  ns3.google.com.
etc...

;; ADDITIONAL SECTION:
ns1.google.com.     87274   IN  A   216.239.32.10
etc.

我明白，至少在理论上，根服务器处理 .，并将 .com.、.gov. 等任何内容交给正确的服务器（尽管实际上这都缓存了几个级别），但在某些时候，有人要知道向216.239.32.10 的服务器询问whatever.google.com 的A 记录。但是解析器首先是如何解决这个问题的，因为您需要知道 NS 的 A 才能做到这一点？（就此而言，既然我们知道它是一个 Internet NS 而不是 Chaos 或其他东西，为什么您必须使用名称而不是 NS 记录的地址？）

我的域名服务器总是有一些上游人可以找到的名字（例如，我在 foo.com 上托管了 bar.com 的 DNS，而我的上游处理了 foo.com），但我从来没有完全理解像 Google 这样的人是如何克服以 google.com 的名义托管 google.com 的 DNS 的鸡与蛋问题。

我有一台 FreeNAS (11.1-U1) 和一台 FreeBSD (11.1-RELEASE-p6) 机器。在 FreeNAS 上，我想以zfs receive具有委派权限的非 root 用户身份递归快照。这似乎适用于大多数子数据集。但是 iocage 的data数据集可以安装到监狱中并从那里管理，它们失败了：

root@freebsd:~> zfs send -RI "dozer@2018-02-21" "dozer@2018-03-08"  | ssh -T -i /root/backup_key backupuser@freenas zfs receive -dvuF neo/backups/freebsd
receiving incremental stream of dozer@2018-03-03 into neo/backups/freebsd@2018-03-03
received 312B stream in 1 seconds (312B/sec)
receiving incremental stream of dozer@2018-03-07 into neo/backups/freebsd@2018-03-07
received 312B stream in 1 seconds (312B/sec)
receiving incremental stream of dozer@2018-03-08 into neo/backups/freebsd@2018-03-08
received 312B stream in 1 seconds (312B/sec)
receiving incremental stream of …

在我的书呆子生活中，我一直在处理 Windows 域的这种限制

1. 登录 - 控制台
2. 对某些东西的集成身份验证（通常是 Web 应用程序）
3. 我的凭据无法移动到另一台服务器（例如数据库或文件系统）。他们必须信任机器 2。

是否有更改此行为的配置？在许多情况下，3 跳会非常方便。

凭据不应委托两次（客户端->服务器->服务器）的具体原因是什么？

我一直在努力学习和理解 IIS 7.5 中的 Windows 身份验证、Kerberos、SPN 和约束委派。我只是不明白的一件事是为什么为管理员、首席执行官等启用委派（即不禁用敏感帐户的委派）是“有风险的”。有人可以简单地向我解释一下吗？请根据 Intranet 环境构建您的答案。

我的理由是它不应该是一个问题，因为委派只是允许前端 Web 服务器，例如，在与其他服务器通信时代表 Windows Authenticated 人员进行操作。如果这个人有访问权限，他们就有访问权限，我不明白为什么这应该是一个问题。

请原谅我的无知。我主要是一名开发人员，但我的公司现在运行得很精简，我也被迫戴上服务器管理员的帽子……不幸的是，它仍然不太适合，哈哈。

我们正在开发一个工具，该工具将通过其他地方员工信息真实性的权威来源使 Active Directory 用户对象的特定属性保持最新，以便当某人的电话号码、经理或位置发生变化时，Active Directory 会自动更新。

对于普通用户来说，使用委派工具可以轻松处理对这些属性的委派操作，但是adminSDHolder应用了ACL 的受保护用户就比较困难了。

adminSDHolder使用 UI将 ACE 添加到ACL 时，您只能授予对所有属性（出于安全原因我们不希望这样做）或adminSDHolder对象本身存在的属性的访问权限- 而不是像department.

您如何授予对受保护的用户对象的特定属性的访问权限adminSDHolder？

多年来，我们积累了离开公司的用户邮箱。由于当时的担忧（他们在邮箱中有重要的东西，我们需要得到它），SOP 是让帐户处于活动状态，并将密码更改为其他部门（或个人）知道的内容。然后他们会通过委派或实际通过 Outlook 登录到该帐户。

这在许多层面（安全性、效率等）对我来说似乎很可怕，我想以最简单的方式摆脱它，同时仍然允许人们查看存储在这些帐户中的电子邮件、联系人等。

为此，我应该怎么做才能完成这项任务？

我的感觉是我应该：以某种方式将用户邮箱、地址簿等转储为 PST 或其他独立文件，将其放在文件共享上，并让相关用户通过该文件连接到它（然后禁用用户帐户并清除邮箱）。

这是要走的路吗？我应该做点别的吗？执行这些任务的步骤是什么（我在系统管理器中的哪个位置等等）。谢谢！

问题：用户连接到机器上的服务，例如 IIS 网站或 SQL Server 数据库。站点或数据库需要访问网络资源，例如文件共享（最常见）或不同服务器上的数据库。权限被拒绝。

这是因为运行该服务的用户首先没有网络权限，或者如果有，则它无权访问远程资源。

我一遍又一遍地遇到这个问题，并且厌倦了没有一个真正可靠的方法来处理它。

以下是我所知道的一些解决方法：

• 以被授予高权限的自定义域用户身份运行 IIS

  如果一次只授予一个文件共享权限，那么每次我想从新共享中读取时，我都必须要求网络管理员为我添加它。最终，随着许多网站从许多共享中读取，它会变得非常复杂。如果只是为用户打开了访问我们域中的任何文件共享的权限，那么这似乎是一个不必要的安全表面区域。

  这也适用于在 IIS 上运行的所有站点，而不仅仅是需要访问的选定站点或虚拟目录，这是进一步的表面积问题。

• 做同样的事情，但使用应用程序池或单独设置凭据

  不必以特定用户身份运行整个 IIS 实例：可以将每个站点、应用程序和文件夹设置为在特定应用程序池或手动选择的一组凭据下运行。这解决了表面积问题的一小部分，但并没有真正解决有关管理权限粒度和跨许多资源这样做的其他问题。

• 仍然使用 IUSR 帐户但给它网络权限并在远程资源上设置相同的用户名（不是域用户，本地用户）

  这也有它的问题。例如，我正在使用一个文件共享，我拥有共享的完全权限，但我无法登录计算机。所以我必须找到合适的管理员并让他为我做这件事。任何时候必须更改，这是对管理员的另一个请求。

• 允许 IIS 用户以匿名方式连接，但将用于匿名访问的帐户设置为高权限帐户

  这甚至比给予 IIS IUSR 完全权限更糟糕，因为这意味着我的网站首先不能使用任何类型的安全性。

• 使用 Kerberos 连接，然后委托

  这在原则上听起来不错，但有各种各样的问题。首先，如果您使用的虚拟网站的域名不是基本机器名称（我们经常这样做），那么您必须使用 Microsoft 的 Web 服务器上的服务主体名称SetSPN 实用程序。它很复杂，而且显然容易出错。此外，您必须要求您的网络/域管理员更改 Web 服务器和域帐户的安全策略，以便他们“受信任进行委派”。如果您没有完全正确地完成所有事情，那么突然之间您想要的 Kerberos 身份验证是 NTLM，并且您只能模拟而不是委托，因此无法以用户身份通过​​网络进行访问。还，

• 创建获取网站资源的服务或 COM+ 应用程序

  服务和 COM+ 包使用它们自己的一组凭据运行。作为高权限用户运行是可以的，因为他们可以确保自己的安全并拒绝不合法的请求，将控制权交给应用程序开发人员而不是网络管理员。问题： 我正在使用一个 COM+ 程序包，它在 Windows Server 2000 上正是这样做的，以将高度敏感的图像传送到安全的 Web 应用程序。我尝试将网站移至 Windows Server 2003，但突然被拒绝实例化 COM+ 对象的权限，很可能是注册表权限。我摸索了很多，并没有解决问题，部分原因是我不愿意给 IUSR 帐户完整的注册表权限。这似乎与仅以高权限用户身份运行 IIS 一样糟糕。

  注意：这实际上非常简单。在您选择的编程语言中，您创建一个带有函数的类，该函数返回您想要的对象的实例（例如 ADODB.Connection），并构建一个 dll，您将其注册为 COM+ 对象。在您的 Web 服务器端代码中，您创建类的实例并使用该函数，并且由于它在不同的安全上下文下运行，因此对网络资源的调用有效。

• 将驱动器号映射到共享

  这理论上可行，但在我看来，这并不是一个好的长期策略。尽管可以使用特定凭据创建映射，并且这可以由网络管理员以外的其他人完成，但这也意味着共享驱动器过多（小粒度）或对整个文件授予过多权限服务器（大粒度）。另外，我还没有弄清楚如何映射驱动器以便 IUSR …

我们有一个服务帐户，它是域管理员组的成员。这是让我特别不舒服的事情。

我希望尽快改变这一点，但我对 AD 权限还很陌生。服务帐户的主要用途是用于 LDAP 查询，因此我已分配帐户域用户成员资格。麻烦的是，它还需要能够代表用户重置密码。我正在查看委托控制，但只能看到“下次登录时重置用户密码和强制更改”。需要的是发生复位但不设置力变化。我试图手动指定一个角色，但由于不同权限的数量之多，我有点超出了我的深度。

有没有人对将密码重置的控制权委托给另一个用户需要什么权限有任何指导？

我想授予对我所有域控制器上的事件日志的读取访问权限，最好是在使用 GPO 的域级别。我希望群组成员能够查看应用程序日志、系统日志以及“应用程序和服务日志”中的多个日志，例如“目录服务”和“文件复制服务”。解决这个问题的最佳策略是什么？

请注意，我的大多数域控制器都是 2008 R2

背景

在我配置了我们的 Active Directory 以便将移动计算机的能力委托给服务台人员之后，我开始听到有关计算机将“卡在”特定 OU 中的报告。他们可以将计算机移入，但在尝试移出计算机时会收到“拒绝访问”消息。该问题 100% 可重现，并且仅存在于我们域中的少数 OU 中。

两个 OU 都已Protect object from accidental deletion启用。

我已经知道的

使用检查 ACLldp.exe确实揭示了一个微小但重要的区别。出于某种原因，只有一个 OU 的属性 ACTRL_DS_DELETE_CHILD 被拒绝Everyone。

切换的Protect object标志和关闭在任OU不能解决问题。它确实按预期修改了 ACL，但ACTRL_DS_DELETE_CHILD在任何一种情况下都完全未修改该标志。

我可以使用此解决方案来“修复”特定的 OU：

1. 关闭Protect object标志
2. 删除与Everyone 关联的拒绝ACE。
3. 打开Protect object回
4. 现在 ACL 匹配。

是否可能是不同版本的 Active Directory 或远程服务器管理工​​具可能对Protect object标志在 OU 上的实际表示方式有不同的行为？

问题

什么可能导致这种差异，我该怎么做才能确保它在 Active Directory 域中的所有 OU 上得到纠正？

细节

统一差异如下所示：

18c18
<       Ace Mask:  0x00010042
---
>       Ace Mask: …