Qual permissão do AD é necessária para permitir a representação de uma conta?

Eu tenho uma conta de serviço do Windows. Preciso conceder permissão para representar outra conta dentro de um grupo em outro domínio confiável, sem delegação. Com tanta eficiência, minha conta de serviço diz 'Oh, eu sou [email protected]' agora. Sei que é possível porque foi configurado para outro domínio - mas antes de ingressar, não sei como eles fizeram isso!

Sou desenvolvedor, mas o diretório de administração das pessoas onde estou não parece saber o que fazer. Qualquer ajuda seria muito apreciada!

Você está procurando:

"Representar um cliente após autenticação" na Política de Segurança Local em Políticas Locais -> Atribuição de Direitos do Usuário

Você também pode usar NTRights com "SeImpersonatePrivilege"

ntrights.exe + r SeImpersonatePrivilege -u domínio \ usuário

Não tenho certeza do que você está tentando fazer exatamente, mas se você está simplesmente tentando executar um aplicativo (como um prompt de comando) como esse usuário, use o runascomando:

runas /user:domain\user cmd
runas /user:[email protected] iexplore.exe

Isso abrirá um prompt de comando em execução como a conta de domínio especificada. (Observe que a máquina da qual você está executando precisará saber como alcançar esse domínio ....)

A execução do cmd pode permitir que você execute qualquer coisa (scripts, outros aplicativos, janelas do explorer) como essa outra conta credenciada como esse usuário - os processos filhos são gerados na conta dos pais.

(Se isso não responder à sua pergunta, esclareça o que você está tentando fazer.)