我意识到从安全角度来看这可能不是最佳做法。但这是一个非常特殊的场景,我的部门认为这是最佳做法。
我的部门目前负责维护几台机器,我们允许标准用户使用这些机器与 GUI 应用程序交互。此应用程序通常不需要提升权限即可运行,但经常需要更新才能运行,而更新应用程序确实需要提升权限。
我们已经与这个问题斗争了好几个月,要求管理员过来输入他们的凭据以允许更新是不可持续的,我们也没有人手来手动运行更新,因为这个程序需要很长时间才能启动,并且必须从应用程序内部启动更新。
我们尝试使用计划任务以提升的权限启动该应用程序,但是 schtasks 启动该应用程序时没有 GUI,这会阻止用户从应用程序内部启动更新。
经过多次会议,我们决定使用 /savecred 将本地管理员登录信息存储在批处理文件中,以提升的权限启动应用程序,并将批处理文件转换为 EXE,以防止用户编辑快捷方式。
我们遇到的问题是,必须通过为每个标准用户输入一次管理员密码来保存凭据,这是不可行的,因为我们有许多用户来来往往,这最终会比仅在请求时输入密码花费更多的时间。
我再次意识到这是一个不完善且有点不安全的解决方案,但我们认为这是针对独特问题的最佳解决方案。
TL;DR:如何强制将保存在 Windows 凭据管理器中的凭据镜像到多个用户帐户,而无需输入每个帐户的密码?