情况:您的 CEO 通过 VPN 远程工作,需要在他的笔记本电脑上安装程序。他没有本地管理员权限。管理员可以提供帮助,但他尝试输入管理员凭据以允许安装程序,但失败了,这可能是因为管理员的凭据未缓存在笔记本电脑上(管理员从未登录过这台计算机)。让管理员登录并安装它将不起作用,因为她的凭据未缓存。请记住,我们是通过 VPN 连接的。
身份验证:Active Directory
服务器:Windows 2008 R2
笔记本电脑:Windows 7
问题:如何在不缓存计算机上所有管理员凭据的情况下避免这种情况,这是不明智的?(即我不知道哪个管理员将提供支持。)
可能的解决方案:暂时将 CEO 添加到管理员安全组。让他安装该程序。然后将他从管理员安全组中删除。这样可行吗?这是最安全的方法吗?(编辑:这没有用。)
我在这里问了一个类似但不同的问题: 如何在 Windows 上缓存凭据
答案1
通过 VPN 连接的用户应能够连接到域控制器(可能是只读的)以确认帐户身份验证。这听起来像是您特定问题的核心。如果 Windows 计算机无法看到 Active Directory,它将无法确认任何基于域的更改,包括您的管理员试图让用户成为管理员。与您的 VPN 提供商合作,确保为基于域的身份验证设置了适当的防火墙规则。
当用户连接到 VPN 时,系统管理员应该有一个远程访问工具,以便能够共享屏幕并查看弹出的任何 UAC 控制窗口。Dameware 和内置的远程协助工具运行良好。WebEx 则不行,因为它会在 UAC 提示弹出时“关闭”远程会话。
使用远程访问工具,系统管理员可以右键单击安装程序文件并选择“以管理员身份运行”或“以其他用户身份运行”,然后使用管理员凭据运行安装程序。当用户连接到 VPN 时,计算机将能够向 Active Directory 域控制器进行身份验证并授予管理员访问权限以运行安装程序。这还会“缓存”凭据以供将来使用,就好像管理员提前在本地登录一样,并且用户在任何时候都看不到或不知道管理员密码。
如果它是 MSI 文件,或者需要命令行,请按照与上述相同的方式右键单击开始菜单中的命令提示符图标,并在验证后使用 MSIEXEC 安装 MSI。
Slipeer 提到,LAPS 将在以后进行设置,因为它不能解决当前的问题。它通过允许您的 Active Directory 管理单个本地管理员帐户来解决用户没有网络或 VPN 连接的问题,但如果远程用户现在无法通过 VPN 连接到域,则无法将其推送到系统。
如果您无法使用远程访问工具绕过 UAC,您可以在本地计算机上使用 compmgmt.msc,连接到用户的计算机,创建一个临时的本地管理员帐户并按上述方式使用它,然后在用户断开与 VPN 的连接之前禁用它。同样,这只有在您连接到 Active Directory 域控制器时才能完成。
答案2
可能的解决方案:使用 LAPS. 并且管理员始终可以知道本地管理员密码。并且本地管理员密码始终是安全且不同的。