Делегирование

Данная функциональность настраивает возможность для учетной записи пользователя делегировать свои учетные данные другим службам в домене при выполнении сетевых запросов через промежуточные системы.

Это необходимо, когда пользователь подключается к удаленному компьютеру, а этот компьютер должен получить доступ к другим ресурсам от имени этого пользователя — и при этом передать его учетные данные дальше по цепочке.

В раскрывающемся списке выберите уровень делегирования для учетной записи:

  • Не доверять делегирование — учетная запись пользователя не может передавать свои учетные данные ни одной службе в домене;

  • Доверять делегирование служб (только Kerberos) — учетная запись пользователя может передавать свои учетные данные любым службам в домене, но только с использованием протокола Kerberos (неограниченное делегирование);

  • Доверять делегирование указанных служб — учетная запись пользователя может передавать свои учетные данные только для явно указанных служб, с выбором протокола проверки подлинности (ограниченное делегирование):

    • Только Kerberos — делегирование разрешено только при использовании протокола Kerberos;

    • Любой протокол проверки подлинности — делегирование разрешено как для Kerberos, так и для NTLM.

dsm user delegation
Рис. 1. Пример секции «Делегирование»

Делегирование указанных служб

При выборе уровня Доверять делегирование указанных служб необходимо добавить службы, для которых разрешено делегирование учетных данных пользователя.

  1. Нажмите на кнопку Добавить — откроется модальное окно с полями:

    • Расположение объекта — каталог в домене, где хранятся объекты служб;

    • Имя объекта — конкретная служба, доступная для делегирования.

    После выбора расположения и объекта снизу формируется таблица доступных служб, соответствующих критериям поиска.

  2. Выберите одну или несколько служб из таблицы и нажмите на кнопку Добавить.

    Выбранные службы отображаются в карточке пользователя в секции «Делегирование» в виде списка с указанием имени службы и протокола аутентификации.

dsm user delegation
Рис. 2. Пример добавления служб в секции «Делегирование»
При выборе значения «Доверять делегирование указанных служб» необходимо добавить хотя бы одну службу. Без добавленных служб кнопка Сохранить недоступна.