IT поддержка без кэшированных учетных данных?

577
mountainclimber

Ситуация: Ваш генеральный директор работает удаленно через VPN и ему нужно установить программу на своем ноутбуке. У него нет прав локального администратора. Администратор доступен, чтобы помочь, но пытается ввести учетные данные администратора, чтобы разрешить установку программы, и это не удается, предположительно, потому что учетные данные администратора не кэшируются на ноутбуке (администратор никогда не входил в систему на этом компьютере). Вход с правами администратора и его установка не будут работать, потому что ее учетные данные не кэшируются. Помните, что мы подключены через VPN.

Аутентификация: Active Directory

Сервер: Windows 2008 R2

Ноутбук: Windows 7

Вопрос: Как мне избежать этого без кэширования всех учетных данных администратора на компьютере, что было бы неправильно рекомендовано? (Т.е. я не знаю, какой администратор будет оказывать поддержку.)

Возможное решение: временно добавьте генерального директора в группу безопасности администратора. Пусть он установит программу. Затем удалите его из группы безопасности администратора. Будет ли это работать? Это самый безопасный способ сделать это? (Изменить: это не сработало.)

Я задал подобный, но другой вопрос здесь: как кэшировать учетные данные в Windows

5

2 ответа на вопрос

2
cathoo

Пользователи, подключенные через VPN, должны иметь подключение к контроллеру домена (возможно, только для чтения) для подтверждения аутентификации учетной записи. Это звучит как центр вашей конкретной проблемы. Если компьютер Windows не видит Active Directory, он не сможет подтвердить изменения на уровне домена, в том числе ваши администраторы пытаются сделать пользователя администратором. Обратитесь к своему провайдеру VPN, чтобы убедиться, что соответствующие правила брандмауэра настроены для аутентификации на основе домена.

Когда пользователь подключен к VPN, системный администратор должен иметь инструмент удаленного доступа, чтобы иметь возможность совместно использовать экран и просматривать все всплывающие окна управления UAC. Dameware и встроенный инструмент Remote Assistance работают хорошо. WebEx не делает этого, поскольку он «отключает» удаленный сеанс, когда появляется приглашение UAC.

Используя инструмент удаленного доступа, системный администратор может щелкнуть правой кнопкой мыши файл установщика и выбрать «Запуск от имени администратора» или «Запуск от имени другого пользователя» и использовать учетные данные администратора для запуска программы установки. Когда пользователь подключен к VPN, компьютер сможет проходить проверку подлинности на контроллере домена Active Directory и предоставлять администратору доступ для запуска программы установки. Это также «кэширует» учетные данные для будущего использования, как если бы администратор заранее вошел в систему локально, а пользователь не видит и не знает пароль администратора в любой момент.

Если это файл MSI или требуется командная строка, щелкните правой кнопкой мыши значок командной строки в меню «Пуск» так же, как описано выше, и после проверки подлинности используйте MSIEXEC для установки MSI.

LAPS, как упомянул Slipeer, будет настроен позднее, так как он не решит насущную проблему. Это решает проблему, когда у пользователя нет подключения к сети или VPN, позволяя Active Directory управлять отдельными учетными записями локального администратора, но если удаленный пользователь не может подключиться к домену через VPN прямо сейчас, его нельзя отправить в систему.

Если вы не можете использовать инструмент удаленного доступа, чтобы обойти UAC, вы можете использовать compmgmt.msc на локальном компьютере, подключиться к компьютеру пользователя, создать временную локальную учетную запись администратора и использовать ее, как указано выше, а затем отключить ее до отключения пользователя из VPN. Опять же, это может быть сделано только при наличии подключения к контроллеру домена Active Directory.

Хотя я еще не подтвердил / не проверил это, я думаю, что ваш первый абзац правильный. Я думаю, что другая проблема с брандмауэром, скорее всего, является причиной. Я постараюсь сообщить и отметить ваш ответ, когда я точно знаю. mountainclimber 7 лет назад 0
0
Slipeer

Возможное решение: использовать LAPS . И администратор всегда может знать пароль локального администратора. А пароль локального администратора всегда безопасен и отличается.

Slipeer - это пугает меня: «Пароли хранятся в виде открытого текста и могут быть раскрыты, если делегирование не спланировано / не развернуто должным образом». Как правильно спланировать / развернуть? Я сейчас активно ищу и читаю об этом. mountainclimber 7 лет назад 0