5

Ситуация: Ваш генеральный директор работает удаленно через VPN и ему нужно установить программу на своем ноутбуке. У него нет прав локального администратора. Администратор доступен, чтобы помочь, но пытается ввести учетные данные администратора, чтобы разрешить установку программы, и это не удается, предположительно, потому что учетные данные администратора не кэшируются на ноутбуке (администратор никогда не входил на этот компьютер). Вход с правами администратора и его установка не будут работать, потому что ее учетные данные не кэшируются. Помните, что мы подключены через VPN.

Аутентификация: Active Directory

Сервер: Windows 2008 R2

Ноутбук: Windows 7

Вопрос: Как мне избежать этого без кэширования всех учетных данных администратора на компьютере, что было бы неправильно рекомендовано? (Т.е. Я не знаю, какой администратор будет оказывать поддержку.)

Возможное решение: временно добавьте генерального директора в группу безопасности администратора. Пусть он установит программу. Затем удалите его из группы безопасности администратора. Будет ли это работать? Это самый безопасный способ сделать это? (Изменить: это не сработало.)

Я задал подобный, но другой вопрос здесь:как кэшировать учетные данные в Windows

2 ответа2

2

Пользователи, подключенные через VPN, должны иметь подключение к контроллеру домена (возможно, только для чтения) для подтверждения аутентификации учетной записи. Это звучит как центр вашей конкретной проблемы. Если компьютер Windows не видит Active Directory, он не сможет подтвердить изменения на уровне домена, в том числе ваши администраторы пытаются сделать пользователя администратором. Обратитесь к своему провайдеру VPN, чтобы убедиться, что соответствующие правила брандмауэра настроены для аутентификации на основе домена.

Когда пользователь подключен к VPN, системный администратор должен иметь инструмент удаленного доступа, чтобы иметь возможность совместно использовать экран и просматривать все всплывающие окна управления UAC. Dameware и встроенный инструмент Remote Assistance работают хорошо. WebEx не делает этого, поскольку он «отключает» удаленный сеанс, когда появляется приглашение UAC.

Используя инструмент удаленного доступа, системный администратор может щелкнуть правой кнопкой мыши файл установщика и выбрать "Запуск от имени администратора" или "Запуск от имени другого пользователя" и использовать учетные данные администратора для запуска программы установки. Когда пользователь подключен к VPN, компьютер сможет проходить проверку подлинности на контроллере домена Active Directory и предоставлять администратору доступ для запуска программы установки. Это также "кэширует" учетные данные для будущего использования, как если бы администратор заранее вошел в систему локально, а пользователь не видит и не знает пароль администратора в любой момент.

Если это файл MSI или требуется командная строка, щелкните правой кнопкой мыши значок командной строки в меню «Пуск» так же, как описано выше, и после проверки подлинности используйте MSIEXEC для установки MSI.

LAPS, как упомянул Slipeer, будет настроен позднее, так как не решит насущную проблему. Это решает проблему, когда у пользователя нет подключения к сети или VPN, позволяя Active Directory управлять отдельными учетными записями локального администратора, но если удаленный пользователь не может подключиться к домену через VPN прямо сейчас, его нельзя отправить в систему.

Если вы не можете использовать инструмент удаленного доступа, чтобы обойти UAC, вы можете использовать compmgmt.msc на локальном компьютере, подключиться к компьютеру пользователя, создать временную локальную учетную запись администратора и использовать ее, как указано выше, а затем отключить ее до отключения пользователя из VPN. Опять же, это может быть сделано только при наличии подключения к контроллеру домена Active Directory.

0

Возможное решение: использовать LAPS. И администратор всегда может знать пароль локального администратора. А пароль локального администратора всегда безопасен и отличается.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .