Назад | Перейти на главную страницу

Запуск административной программы под учетной записью пользователя - версия для домена

Я рву здесь волосы - мне бы немного помочь.

Похоже, что классический RUNAS не работает в среде домена. По крайней мере, я не могу заставить его работать в доменной среде Windows Server 2012 R2 и Windows 8.1.

Сначала я пытался настроить управляемые учетные записи служб в соответствии с Эта статья, чтобы создать административную учетную запись, которую можно было бы использовать для повышения привилегий для программы, которая слишком важна для своих собственных веток, но, хотя я мог делать все на сервере, последние шаги (операция на рабочей станции Win8,1Ent которому нужен аккаунт) не так хорошо. По сути, требуется команда, Install-ADServiceAccount выдает ошибку, потому что не может быть найден:

PS C:\Users\René Kåbis.DOMAIN> Install-ADServiceAccount Services
Install-ADServiceAccount : The term 'Install-ADServiceAccount' is not recognized as the name of a cmdlet, function,
script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is
correct and try again.
At line:1 char:1
+ Install-ADServiceAccount Services
+ ~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (Install-ADServiceAccount:String) [], CommandNotFoundException
    + FullyQualifiedErrorId : CommandNotFoundException

Поэтому я был вынужден отказаться от этого метода и обратиться к стандартным административным учетным записям. О, радостный восторг от потенциально взломанных аккаунтов!

Проблема в том, что они тоже не работают. Ну, они есть, только не так, как мне нужно.

Я создал административную учетную запись под другим именем (на случай конфликта между существующей учетной записью службы и этой новой учетной записью администратора). Когда я перехожу на рабочую станцию, вхожу в систему под ограниченным именем пользователя и дважды щелкаю приложение prima-donna, я получаю стандартное «эта программа требует доступа администратора» yaddah, yaddah, yaddah. И в появившееся поле входа в систему я могу ввести новые учетные данные администратора и войти в систему. Пока все хорошо, но это НЕ БЕЗОПАСНО, потому что любой, кто знает эти учетные данные, может использовать их для получения административного доступа к любой машине.

Поэтому я пытаюсь runas. Я использую следующую строку:

C:\Program Files (x86)\Microsoft Retail Management System\Store Operations>runas
 /user:rms@domain /savecred SOMANAGER.exe
Attempting to start SOMANAGER.exe as user "rms@domain" ...
Enter the password for rms@domain:
Attempting to start SOMANAGER.exe as user "rms@domain" ...
RUNAS ERROR: Unable to run - SOMANAGER.exe
1783: The stub received bad data.

Эммм… хорошо. Но проверка rundll32.exe keymgr.dll, KRShowKeyMgr показывает учетные данные, существующие на машине! Поэтому я пытаюсь снова,

C:\Program Files (x86)\Microsoft Retail Management System\Store Operations>runas
 /user:rms@domain /savecred SOMANAGER.exe
Attempting to start SOMANAGER.exe as user "rms@domain" ...
RUNAS ERROR: Unable to run - SOMANAGER.exe
740: The requested operation requires elevation.

Виски. Танго. Фокстрот.

У учетной записи, которую я использую, есть возможность повысить уровень программы. Я доказал это, открыв программу в обычном режиме и введя те же самые учетные данные в появившееся поле входа. Так почему, черт возьми, это происходит ??

Чтобы установить модуль PowerShell для активного каталога:

На сервере установите функцию удаленного администрирования сервера.

На клиенте установите инструменты rsat после загрузки установщика rsat.

Затем запустите import-module activedirectory.

Это делает активный каталог cmd-Let доступным для использования.

Ссылка для справки: http://technet.microsoft.com/en-us/magazine/gg413289.aspx

Это немного громоздкий процесс, если единственной целью является учетная запись службы, а остатки необходимо очистить.


[ИЗМЕНИТЬ на основе вашего нового сообщения об ошибке в комментарии] В настоящий момент у меня нет доступа к домену 2012 года, поэтому могу только догадываться и внимательно смотреть. Похоже, что команда в руководстве запускается с учетной записью администратора домена, предположительно в консоли ps с повышенными правами. Есть ли у используемой вами учетной записи соответствующий уровень доступа?

Кроме того, выполняете ли вы требование «Использование gMSA ограничено только теми компьютерами, которые указаны в дескрипторе безопасности msDS-GroupMSAMembership.»?

Наконец, похоже, что руководство, которому вы следуете, в значительной степени является копией / вставкой, но также значительно уменьшенной копией оригинального сообщения в блоге Microsoft. Не вдаваясь в подробности, я бы посоветовал вам найти гораздо более полные инструкции в оригинале: http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx

Я обнаружил единственный способ сделать Система управления розничной торговлей Microsoft Dynamics корректно работать под ограниченной учетной записью домена пользователя только с одним и с другим путем: Очередь ОАК.

Я уверен, что контроль доступа пользователей - прекрасная идея, которая значительно улучшила безопасность в экосистеме Windows со времен Vista, но, к сожалению, Dynamics RMS, похоже, представляет собой программное обеспечение на основе COM / DCOM, которое было написано до 2007 года. Таким образом, оно может работать только должным образом. под неадминистративной учетной записью на основе домена, когда UAC полностью отключен.

Конечно, учетные записи, не связанные с доменом, - это совсем другое. Если у вас есть автономный компьютер, заставить RUNAS правильно запустить Dynamics RMS - это просто прогулка по парку. В доменной системе это кошмар из самых худших опасений системного администратора.

Я сделал несколько вещей, чтобы запустить RMS, однако на дикой и покрытой шерстью тропе, которую я проложил во время своих усилий, я не уверен, что было эффективно, а что вообще ничего не дало. Итак, вот список тех вещей, которые я не «раскручивал» до их настроек по умолчанию (я всегда был осторожен, чтобы открутить настройку, как только я был уверен, что она не делает ничего продуктивного - но в этом проблема. Некоторые вещи я просто не был уверен).

  • Зайдите в свойства исполняемых файлов программы и для «всех пользователей» (дополнительная кнопка внизу в среде домена) установите совместимость с Windows XP SP3 и настройте запуск от имени администратора.
  • Зайдите в файл манифеста каждого исполняемого файла программы (да, у них есть файлы манифеста) и закомментируйте декларативный XML, требующий административных уровней выполнения.
  • Войдите в групповую политику для домена и измените следующее:
    • Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме утверждения администратором - Поднимите без подсказки
    • Контроль учетных записей пользователей: обнаружение установок приложений и запрос на повышение прав - Отключено
    • Контроль учетных записей пользователей: повышайте уровень только приложений UIAccess, которые установлены в безопасных местах - Отключено
    • Контроль учетных записей пользователей: запускать всех администраторов в режиме утверждения администратором - Отключено

После того, как эти параметры были полностью настроены (и компьютеры были перезагружены, чтобы объект групповой политики компьютера мог вступить в силу), RMS смогла запустить из самого исполняемого файла, вообще не запрашивая каких-либо учетных данных, даже из подтвержденной ограниченной учетной записи пользователя в домен.

Если кто-то пойдет по моим стопам, я настоятельно рекомендую вам не сначала попробуйте это. Сделайте все, что в ваших силах, чтобы не отключать UAC. UAC действительно является очень важной частью безопасности Windows, и я только очень тяжело отключил его. Я делаю это только потому, что имею дело с относительно старой программой (без текущего эквивалента - в 2014 году ожидается появление полностью новой и перестроенной вариации).