계정 가장을 허용하려면 어떤 AD 권한이 필요합니까?

Windows 서비스 계정이 있습니다. 위임없이 다른 신뢰할 수있는 도메인의 그룹 내에서 다른 계정을 가장 할 수있는 권한을 부여해야합니다. 실제로 내 서비스 계정에 '아, 나는 Barnie@otherdomain.com'이라고 말합니다. 다른 도메인에 대해 설정 되었기 때문에 가능하다는 것을 알고 있습니다. 그러나 가입하기 전에 그들이 어떻게했는지 모르겠습니다.

나는 개발자이지만 내가 무엇을 해야할지 모르는 디렉토리 관리자. 어떤 도움이라도 대단히 감사하겠습니다!

당신은 찾고 있습니다 :

로컬 정책-> 사용자 권한 할당의 로컬 보안 정책에서 "인증 후 클라이언트로 가장"

"SeImpersonatePrivilege"와 함께 NTRights를 사용할 수도 있습니다.

ntrights.exe + r SeImpersonatePrivilege -u 도메인 \ 사용자

정확히 무엇을하려고하는지 확실하지 않지만 해당 사용자로 응용 프로그램 (예 : 명령 프롬프트)을 실행하려고하면 다음 명령을 사용하십시오 runas.

runas /user:domain\user cmd
runas /user:user@domain.com iexplore.exe

지정된 도메인 계정으로 실행되는 명령 프롬프트가 열립니다. (실행중인 컴퓨터는 해당 도메인에 도달하는 방법을 알아야합니다 ....)

cmd를 실행하면 해당 사용자 자격 증명 계정과 같은 모든 항목 (스크립트, 기타 앱, 탐색기 창)을 실행할 수 있습니다. 하위 프로세스는 부모 계정 아래에 생성됩니다.

(이것이 귀하의 질문에 대한 답변이 아닌 경우, 귀하가하려는 일을 명확히하십시오.)