Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Normalement, lorsque vous utilisez la délégation Kerberos, vous définissez simplement le nom du principal de service (SPN) avec la commande setspn.exe ou manuellement avec l’éditeur d’attribut dans Utilisateurs et ordinateurs Active Directory. En outre, l’activation desfonctionnalités d’affichage> avancées dans les utilisateurs et ordinateurs Active Directory permet de configurer la délégation Kerberos à partir de l’onglet Délégation d’un utilisateur ou d’un compte d’ordinateur.
Toutefois, pour les comptes de service gérés autonomes et de groupe, l’onglet Délégation n’apparaît pas, même après l’ajout de SPN à ces comptes ou l’activation des fonctionnalités View>Advanced.
Pour configurer une délégation pour ces comptes spéciaux, vous avez besoin de définir manuellement les attributs appropriés. Vous devez modifier deux attributs pour ces comptes :
- userAccountControl définit le type de délégation.
- msDS-AllowedToDelegateTo définit l’emplacement où les SPN sont ajoutés pour la délégation.
Ces attributs peuvent être définis de différentes manières :
- Utiliser PowerShell
- Mise à jour manuelle de la valeur userAccountControl
Utilisation de commandes PowerShell
La méthode la plus sûre et la plus pratique consiste à utiliser des commandes PowerShell pour mettre à jour ces attributs. Vous n’avez pas besoin de calculer les valeurs userAccountControl finales quand vous utilisez PowerShell. Voici les commandes permettant d’activer différents types de délégation :
Ne pas faire confiance à cet ordinateur pour la délégation
Set-ADAccountControl -Identity TestgMSA$ -TrustedForDelegation $false -TrustedToAuthForDelegation $false Set-ADServiceAccount -Identity TestgMSA$ -Clear 'msDS-AllowedToDelegateTo'Délégation non contrainte/Faire confiance à cet ordinateur pour la délégation à tous les services
Set-ADAccountControl -Identity TestgMSA$ -TrustedForDelegation $true -TrustedToAuthForDelegation $false Set-ADServiceAccount -Identity TestgMSA$ -Clear 'msDS-AllowedToDelegateTo'Délégation Kerberos contrainte/Faire confiance à cet ordinateur uniquement pour la délégation aux services spécifiés (Utiliser Kerberos uniquement)
Set-ADAccountControl -Identity TestgMSA$ -TrustedForDelegation $false -TrustedToAuthForDelegation $falseMettez à jour les SPN du service back-end dans l’attribut msDS-AllowedToDelegateTo.
Délégation Kerberos contrainte avec transition de protocole/Faire confiance à cet ordinateur uniquement pour la délégation aux services spécifiés (Utiliser tout protocole d’authentification)
Set-ADAccountControl -Identity TestgMSA$ -TrustedForDelegation $false -TrustedToAuthForDelegation $trueMettez à jour les SPN du service back-end dans l’attribut msDS-AllowedToDelegateTo.
Mise à jour manuelle de la valeur userAccountControl
Certaines des méthodes les plus simples pour modifier les attributs sont d’activer les> avancées dans les utilisateurs et ordinateurs Active Directory ou à l’aide d’ADSIEdit.msc.
Voici les valeurs userAccountControl pouvant être ajoutées pour différents types de délégation. Faites preuve de prudence quand vous modifiez cette valeur d’attribut et assurez-vous que seuls les indicateurs TRUSTED_FOR_DELEGATION ou TRUSTED_TO_AUTH_FOR_DELEGATION sont ajoutés et que les autres propriétés ne sont pas modifiées. De plus, vérifiez que les deux indicateurs ne sont pas ajoutés ensemble dans la valeur userAccountControl sur un compte de service administré.
| Type de délégation | Indicateur de propriété | Valeur au format hexadécimal | Valeur au format décimal |
|---|---|---|---|
| Délégation non contrainte/Approuver cet ordinateur pour la délégation à tous les services | TRUSTED_FOR_DELEGATION | 0x80000 | 524 288 |
| Délégation Kerberos contrainte/N’approuver cet ordinateur que pour la délégation aux services spécifiés (Utiliser Kerberos uniquement) | Aucune modification | Aucune modification | Aucune modification |
| Délégation Kerberos contrainte avec transition de protocole/N’approuver cet ordinateur que pour la délégation aux services spécifiés (Utiliser tout protocole d’authentification) | TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16 777 216 |
Lorsque vous mettez à jour manuellement la valeur userAccountControl, vérifiez que la nouvelle valeur est ajoutée avec la valeur existante, qui n’est pas remplacée. Par exemple, considérez que la valeur actuelle de UAC est 4096 (hex 0x1000), ce qui correspond à WORKSTATION_TRUST_ACCOUNT.
Pour activer la délégation non sécurisée (non sécurisée), vous devez ajouter la valeur userAccountControl pour TRUSTED_FOR_DELEGATION plus la valeur existante. La valeur UAC doit devenir 0x81000 (0x1000 + 0x80000), ce qui signifie WORKSTATION_TRUST_ACCOUNT et TRUSTED_FOR_DELEGATION.
Si vous avez ajouté des SPN par erreur ou que vous souhaitez supprimer certains SPN de la liste de délégation du compte, vous pouvez modifier manuellement l’attribut msDS-AllowedToDelegateTo du compte. Cette méthode s’applique à tout compte d’utilisateur ou d’ordinateur.
