由于某种原因,我们公司的 IT 部门不想将 Windows 7 和 Windows Vista 机器添加到域控制器中。
我讨厌每次访问加入域的计算机上的共享文件夹时都要提供我的网络凭据。我也讨厌每次启动 Outlook 或 Visual Studio (Team Explorer) 时都要提供我的密码。
有没有办法可以模拟添加到域中的机器的行为,而无需实际将机器添加到域中?
对于共享,我可以创建一个批处理文件,它将对我们在这里使用的不同文件服务器进行 NET USE,但这是一个巨大的安全风险,因为我将以纯文本形式输入我的密码。
谢谢!
答案1
Jon 对 Kerberos 的看法是正确的,但是没有详细说明。
在服务器上,你需要创建一个机器账户。记住密码。
您需要将您机器上的本地帐户与域上的帐户进行映射。从命令行:
ksetup /setrealm YOURDOMAIN.TLD
ksetup /addkdc YOURDOMAIN.TLD yourkdc.yourdomain.tld
ksetup /setmachpassword the-password-from-above
ksetup /mapuser [email protected] yourlocalaccount
(第二步中的KDC一般是域控制器)
您现在可以访问所有 Kerberised 服务,但您的机器实际上尚未加入域。
答案2
您的愿望是可以实现的。请按照本教程操作。
这是一件美丽的事情。:)
答案3
Windows(可能还有 Samba)域将使用名为 Kerberos 的单点登录系统在您登录时对您进行身份验证。一旦您获得 Kerberos 票证,您就可以访问任何“kerberised”服务,而无需再次输入您的用户名和密码 - 例如您的文件服务器。
您可能通过确保本地 Windows 帐户使用与域帐户相同的用户名和密码并映射网络驱动器等方法获得一些成功。此外,您还可以经常在应用程序中保存凭据 - 但这显然是一个潜在的安全问题,任何勾选过 Outlook 的保存密码框的人都会告诉您,它经常不起作用。
这可以帮助你让 Oulook 记住密码:MS Technet 文章
答案4
您还可以创建一个批处理脚本,将脚本的第一个参数作为您的密码并将其传递给批处理文件中的网络使用脚本。
您也可以省略密码作为参数并让其提示您,然后将批处理文件添加到您的启动项中。
我的主要问题是,为什么 IT 部门不允许您将其加入域?它是个人机器吗?如果是,我甚至不会乐意在我的办公室将它连接到物理网络,更不用说域了。