Windows эквивалент Linux ksu (Kerberized суперпользователь) на Windows?

417
Fabiano Tarlao

ksuKerberized super-user, команда может использовать файл кэша учетных данных (то есть, содержащий билет Kerberos для пользователя u1 ) для выполнения оболочки / команды с пользователем u1.

Я долгое время работал с Linux, и теперь я перехожу в мир Windows и домен Active Directory. Я новичок. Я понял, что в Windows учетные данные (также Krb) управляются и хранятся через службу LSASS, я понял, что команда RunAs выполняет задачу, аналогичную Linux su / sudo, но предоставляя имя пользователя / пароль. Я не могу найти команду для выполнения той же задачи с уже полученными учетными данными Krb.

Вопросы

  • В Windows, как я могу выполнить скрипт на имя другого пользователя, используя полученные билеты Krb (хранящиеся в LSASS или другом файле кэша)? Есть ли команда?
  • Или .. Есть ли способ сделать это программно с C # / Java?
  • Или ... Есть ли способ выполнить сценарий оболочки удаленно с GSSAPI, предоставив перенаправляемый билет Krb?

Возможность использовать Linux как файлы ccache для учетных данных ... было бы здорово. С уважением

0

1 ответ на вопрос

1
harrymc

Боюсь, что в Windows нет способа заставить его работать таким же образом.

Довольно неудачное решение - использовать команду runas с /savecredпараметром. Это сохраняет пароль, поэтому его нужно вводить только при первом использовании команды RunAs, но это очень плохая идея, поскольку она создает дыру в безопасности. Есть также хитрость в том, что он работает только со встроенной учетной записью администратора, отключенной по умолчанию, что создает вторую зияющую дыру в безопасности.

Подробнее о том, как заставить его работать, смотрите Как создать ярлык, который позволяет обычному пользователю запускать приложение от имени администратора .

Я бы действительно советовал использовать команду RunAs с именем пользователя и указывать пароль во время выполнения.

Для удаленного выполнения см. Инструмент PsExec для запуска интерактивных командных приглашений на удаленных системах.

Похожие вопросы