需要设置 RADIUS 服务器来验证 Windows 客户端与 Windows 服务器之间的身份

需要设置 RADIUS 服务器来验证 Windows 客户端与 Windows 服务器之间的身份

我有一台服务器,我的技术人员需要能够使用共享凭据访问它。但是,这样做违反了我们的安全策略 (!)。我需要每个用户都能够使用自己的凭据进行身份验证,但相关服务器必须使用特定的登录名登录(这两个要求显然截然相反)。

我认为这对于 RADIUS 服务器来说是一个很棒的应用程序。我知道如何设置 RADIUS 以从 Windows --> Cisco,但我不知道如何使用 RADIUS 来验证 Windows --> Windows。

能做到吗?如果能,怎么做?

答案1

将机器放入您的域中。让应用程序登录控制台会话。将其许可为 TS 服务器,并让他们使用其域帐户通过 RDP 登录。

/编辑- 好的,我不明白这一点。我的解决方案仍然有效 - 如果它在域中(或在信任您的域的域中),那么他们可以通过 CIFS/SMB 或使用 Windows 身份验证的任何其他方式进行身份验证和访问。要让 Windows 真正针对本地 SAM 或域以外的其他内容进行身份验证,您必须替换 GINA,没有内置功能可以选择其他身份验证源。这就是 GINA 的用途 - 如果您想使用(或构建)其他身份验证选项。据我所知,MS 没有制造任何其他 GINA。pGina 表示它可以与 RADIUS 一起使用,我自己没有用过它,但我知道它已经存在了很长一段时间。

答案2

嗯...一个有趣的问题。快速谷歌搜索后,我偶然发现了一个论坛帖子,它给了我一个想法。

拨号网络,使用拨号网络登录通过 VPN 登录。这可能允许您跟踪登录。

答案3

这是一个疯狂的想法...

让技术人员各自拥有自己的登录名,然后以共享帐户的资源管理器 shell 身份运行。这样,每个技术人员的登录名都可以记录在事件查看器中,但他们仍然可以在其特定登录名下访问 ghost 程序。

可以将其视为 Ghetto Window 的 Sudo (TM)。


第一的:

  • 为每位技术人员创建登录信息。
  • 确保 Windows 记录登录和权限的使用情况。

要更改为共享帐户:

  • 在命令提示符中输入:(runas /user:sharedaccount cmd创建以共享帐户运行的命令提示符)
  • Ctrl+Alt+删除
  • 杀死浏览器过程
  • 在 shell 窗口中输入:explorer.exe

要返回技术人员的个人帐户:

  • Ctrl+Alt+删除
  • 终止 explorer 进程
  • 文件-->新任务-->类型:explorer.exe-->单击确定
  • 单击开始菜单,确认您的 explorer shell 正在以技术人员的个人帐户身份运行

相关内容