Я рву здесь волосы - мне бы немного помочь.
Похоже, что классический RUNAS не работает в среде домена. По крайней мере, я не могу заставить его работать в доменной среде Windows Server 2012 R2 и Windows 8.1.
Сначала я пытался настроить управляемые учетные записи служб в соответствии с Эта статья, чтобы создать административную учетную запись, которую можно было бы использовать для повышения привилегий для программы, которая слишком важна для своих собственных веток, но, хотя я мог делать все на сервере, последние шаги (операция на рабочей станции Win8,1Ent которому нужен аккаунт) не так хорошо. По сути, требуется команда, Install-ADServiceAccount
выдает ошибку, потому что не может быть найден:
PS C:\Users\René Kåbis.DOMAIN> Install-ADServiceAccount Services
Install-ADServiceAccount : The term 'Install-ADServiceAccount' is not recognized as the name of a cmdlet, function,
script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is
correct and try again.
At line:1 char:1
+ Install-ADServiceAccount Services
+ ~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (Install-ADServiceAccount:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException
Поэтому я был вынужден отказаться от этого метода и обратиться к стандартным административным учетным записям. О, радостный восторг от потенциально взломанных аккаунтов!
Проблема в том, что они тоже не работают. Ну, они есть, только не так, как мне нужно.
Я создал административную учетную запись под другим именем (на случай конфликта между существующей учетной записью службы и этой новой учетной записью администратора). Когда я перехожу на рабочую станцию, вхожу в систему под ограниченным именем пользователя и дважды щелкаю приложение prima-donna, я получаю стандартное «эта программа требует доступа администратора» yaddah, yaddah, yaddah. И в появившееся поле входа в систему я могу ввести новые учетные данные администратора и войти в систему. Пока все хорошо, но это НЕ БЕЗОПАСНО, потому что любой, кто знает эти учетные данные, может использовать их для получения административного доступа к любой машине.
Поэтому я пытаюсь runas
. Я использую следующую строку:
C:\Program Files (x86)\Microsoft Retail Management System\Store Operations>runas
/user:rms@domain /savecred SOMANAGER.exe
Attempting to start SOMANAGER.exe as user "rms@domain" ...
Enter the password for rms@domain:
Attempting to start SOMANAGER.exe as user "rms@domain" ...
RUNAS ERROR: Unable to run - SOMANAGER.exe
1783: The stub received bad data.
Эммм… хорошо. Но проверка rundll32.exe keymgr.dll, KRShowKeyMgr
показывает учетные данные, существующие на машине! Поэтому я пытаюсь снова,
C:\Program Files (x86)\Microsoft Retail Management System\Store Operations>runas
/user:rms@domain /savecred SOMANAGER.exe
Attempting to start SOMANAGER.exe as user "rms@domain" ...
RUNAS ERROR: Unable to run - SOMANAGER.exe
740: The requested operation requires elevation.
Виски. Танго. Фокстрот.
У учетной записи, которую я использую, есть возможность повысить уровень программы. Я доказал это, открыв программу в обычном режиме и введя те же самые учетные данные в появившееся поле входа. Так почему, черт возьми, это происходит ??
Чтобы установить модуль PowerShell для активного каталога:
На сервере установите функцию удаленного администрирования сервера.
На клиенте установите инструменты rsat после загрузки установщика rsat.
Затем запустите import-module activedirectory.
Это делает активный каталог cmd-Let доступным для использования.
Ссылка для справки: http://technet.microsoft.com/en-us/magazine/gg413289.aspx
Это немного громоздкий процесс, если единственной целью является учетная запись службы, а остатки необходимо очистить.
[ИЗМЕНИТЬ на основе вашего нового сообщения об ошибке в комментарии] В настоящий момент у меня нет доступа к домену 2012 года, поэтому могу только догадываться и внимательно смотреть. Похоже, что команда в руководстве запускается с учетной записью администратора домена, предположительно в консоли ps с повышенными правами. Есть ли у используемой вами учетной записи соответствующий уровень доступа?
Кроме того, выполняете ли вы требование «Использование gMSA ограничено только теми компьютерами, которые указаны в дескрипторе безопасности msDS-GroupMSAMembership.»?
Наконец, похоже, что руководство, которому вы следуете, в значительной степени является копией / вставкой, но также значительно уменьшенной копией оригинального сообщения в блоге Microsoft. Не вдаваясь в подробности, я бы посоветовал вам найти гораздо более полные инструкции в оригинале: http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx
Я обнаружил единственный способ сделать Система управления розничной торговлей Microsoft Dynamics корректно работать под ограниченной учетной записью домена пользователя только с одним и с другим путем: Очередь ОАК.
Я уверен, что контроль доступа пользователей - прекрасная идея, которая значительно улучшила безопасность в экосистеме Windows со времен Vista, но, к сожалению, Dynamics RMS, похоже, представляет собой программное обеспечение на основе COM / DCOM, которое было написано до 2007 года. Таким образом, оно может работать только должным образом. под неадминистративной учетной записью на основе домена, когда UAC полностью отключен.
Конечно, учетные записи, не связанные с доменом, - это совсем другое. Если у вас есть автономный компьютер, заставить RUNAS правильно запустить Dynamics RMS - это просто прогулка по парку. В доменной системе это кошмар из самых худших опасений системного администратора.
Я сделал несколько вещей, чтобы запустить RMS, однако на дикой и покрытой шерстью тропе, которую я проложил во время своих усилий, я не уверен, что было эффективно, а что вообще ничего не дало. Итак, вот список тех вещей, которые я не «раскручивал» до их настроек по умолчанию (я всегда был осторожен, чтобы открутить настройку, как только я был уверен, что она не делает ничего продуктивного - но в этом проблема. Некоторые вещи я просто не был уверен).
После того, как эти параметры были полностью настроены (и компьютеры были перезагружены, чтобы объект групповой политики компьютера мог вступить в силу), RMS смогла запустить из самого исполняемого файла, вообще не запрашивая каких-либо учетных данных, даже из подтвержденной ограниченной учетной записи пользователя в домен.
Если кто-то пойдет по моим стопам, я настоятельно рекомендую вам не сначала попробуйте это. Сделайте все, что в ваших силах, чтобы не отключать UAC. UAC действительно является очень важной частью безопасности Windows, и я только очень тяжело отключил его. Я делаю это только потому, что имею дело с относительно старой программой (без текущего эквивалента - в 2014 году ожидается появление полностью новой и перестроенной вариации).