Кажется, что бег certutil.exe -DCInfo Verify проверит сертификаты для всех контроллеров домена в домене учетной записи вошедшего в систему пользователя.
В нашем лесу AD у нас есть несколько доменов. У меня есть только уникальная учетная запись в двух из них, но у меня есть административные права для всех из них.
Есть ли способ запустить команду, чтобы настроить таргетинг на другой домен, отличный от того, в который я вошел, или мне действительно нужно иметь учетную запись в каждом из них ?!
Как вариант, есть ли другой способ достичь той же цели?
После того, как я столкнулся с той же проблемой, я смог получить необходимую мне информацию через Powershell благодаря чужому сообщению в блоге.
Кредит: (исходная ссылка, если она все еще в сети, когда вы читаете это)
Код:
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store("\\dc1\My","LocalMachine")
$store.Open("ReadOnly")
$store.Certificates
Затем вы можете проанализировать полученные объекты сертификата. Могут возникнуть некоторые проблемы с доступом, которые необходимо решить, но все это отлично работало для меня в моей среде с использованием учетной записи администратора предприятия на серверах 2003 и 2008 годов.
Что произойдет, если вы воспользуетесь psexec выполнить certutil.exe на контроллере домена, принадлежащем каждому домену, на который вы хотите настроить таргетинг, используя вашу доверенную учетную запись администратора домена из другого домена в лесу?
Как вариант, можете ли вы использовать права администратора своего домена для создания svc_certchk аккаунт в каждом домене?
certutil работает в контексте пользователя, из которого вызывается.
Кажется маловероятным, что вы сможете достичь желаемого без учетной записи в каждом домене, если только вы не придумаете способ выдать себя за других пользователей, что, вероятно, потребует вызова Win32 API. Вот такой вопрос что может помочь вам, если вы решите пойти по этому пути.