Měly by řadiče domény mít neomezené delegování?

Obsah:

Měly by řadiče domény mít neomezené delegování?
Měly by řadiče domény mít neomezené delegování?

Video: Měly by řadiče domény mít neomezené delegování?

Video: Měly by řadiče domény mít neomezené delegování?
Video: How to Delegate Control in Active Directory 2024, Listopad
Anonim

Jedna věc, kterou je třeba poznamenat, je, že Řadiče domén jsou ve výchozím nastavení nakonfigurovány s neomezeným delegováním. To je vyžadováno, a protože by vaše řadiče domény měly být mnohem bezpečnější než náhodný aplikační server hostující službu, neměl by to být problém.

Proč mají řadiče domény neomezené delegování?

Neomezené delegování je privilegium, které mohou administrátoři domény přidělit počítači domény nebo uživateli … Ukládání TGT do mezipaměti umožňuje systému ověřit, že se uživatel již autentizoval, aniž by vyžadoval opětovné -autentizace a může se vydávat za ověřeného uživatele pro přístup k jakýmkoli dalším službám.

Co znamená neomezené delegování?

Neomezené delegování: První hop server (řekněme webový server) může zosobňovat přihlašovací údaje uživatele jakékoli službě v doméně. … Omezené delegování: Server prvního skoku může zosobnit přihlašovací údaje uživatele pouze zadaným servisním účtům.

Proč je neomezené delegování špatné?

Využití neomezeného delegování znamená, , že donutíme privilegovaného uživatele, aby se připojil k systému s povoleným delegováním. ale předtím, než to uděláme, nastavíme Rubeus na počítači, který jsme kompromitovali, aby naslouchal příchozím ověřeným připojením.

Co je to omezené a neomezené delegování?

Účelem omezeného delegování je omezit přístup delegačního stroje/účtu ke konkrétním službám při předstírání identity uživatelů, na rozdíl od neomezeného delegování, které umožňuje delegování na všechny služby.

Doporučuje: