我有一台服务器,我的技术人员需要能够使用共享凭据访问它。但是,这样做违反了我们的安全策略 (!)。我需要每个用户都能够使用自己的凭据进行身份验证,但相关服务器必须使用特定的登录名登录(这两个要求显然截然相反)。
我认为这对于 RADIUS 服务器来说是一个很棒的应用程序。我知道如何设置 RADIUS 以从 Windows --> Cisco,但我不知道如何使用 RADIUS 来验证 Windows --> Windows。
能做到吗?如果能,怎么做?
答案1
将机器放入您的域中。让应用程序登录控制台会话。将其许可为 TS 服务器,并让他们使用其域帐户通过 RDP 登录。
/编辑- 好的,我不明白这一点。我的解决方案仍然有效 - 如果它在域中(或在信任您的域的域中),那么他们可以通过 CIFS/SMB 或使用 Windows 身份验证的任何其他方式进行身份验证和访问。要让 Windows 真正针对本地 SAM 或域以外的其他内容进行身份验证,您必须替换 GINA,没有内置功能可以选择其他身份验证源。这就是 GINA 的用途 - 如果您想使用(或构建)其他身份验证选项。据我所知,MS 没有制造任何其他 GINA。pGina 表示它可以与 RADIUS 一起使用,我自己没有用过它,但我知道它已经存在了很长一段时间。
答案2
嗯...一个有趣的问题。快速谷歌搜索后,我偶然发现了一个论坛帖子,它给了我一个想法。
拨号网络,使用拨号网络登录通过 VPN 登录。这可能允许您跟踪登录。
答案3
这是一个疯狂的想法...
让技术人员各自拥有自己的登录名,然后以共享帐户的资源管理器 shell 身份运行。这样,每个技术人员的登录名都可以记录在事件查看器中,但他们仍然可以在其特定登录名下访问 ghost 程序。
可以将其视为 Ghetto Window 的 Sudo (TM)。
第一的:
- 为每位技术人员创建登录信息。
- 确保 Windows 记录登录和权限的使用情况。
要更改为共享帐户:
- 在命令提示符中输入:(
runas /user:sharedaccount cmd创建以共享帐户运行的命令提示符) - Ctrl+Alt+删除
- 杀死浏览器过程
- 在 shell 窗口中输入:
explorer.exe
要返回技术人员的个人帐户:
- Ctrl+Alt+删除
- 终止 explorer 进程
- 文件-->新任务-->类型:
explorer.exe-->单击确定 - 单击开始菜单,确认您的 explorer shell 正在以技术人员的个人帐户身份运行