我不确定这是否是发布该问题的正确地方,但我想既然这里的一些用户熟悉 Windows 服务器和 Active Directory,我可能会获得一些有关我的问题的信息。
我正在开发一个服务器云备份应用程序。该软件将部署到 Active Directory 上的所有用户,并且应使用单个电子邮件和密码将文件备份到同一帐户下的云中。这一切都非常简单明了。
我的问题是当特定(非管理员)用户尝试管理其备份文件时。我需要在 Web 控制台上区分此用户,他需要输入一些此用户独有的凭据。这是因为只有管理员才应该知道该帐户的主要凭据。
我倾向于实施一种方法,将帐户名 [username@domain] 作为子帐户名,应用程序将要求用户输入密码,而管理员仍然可以使用主帐户的凭据访问所有用户的数据。
我提出这个问题主要是为了问这种系统的最佳实践是什么,因为我不是服务器专家,也没有花太多时间研究 Active Directory 和 Windows 服务器。我主要关心的是主帐户和子用户帐户的安全性。
答案1
我很确定你想要的是不是一些随机的用户名和密码。我非常确定您想要的是软件本身能够识别 AD,并询问域控制器用户是否有效。
可惜的是,这与“Web 控制台凭据”不同。但客户端软件本身应该通过标准 AD 手段知道登录用户是否有效(有效凯尔伯罗斯票等)。
也许您可以从 AD 中提取用户的电子邮件地址,并以此方式为用户生成密码/OTP。
(如果使用 DOMAIN/USERNAME 提示,和/或通过第三方“培训他们这样做”,我也会担心不太精明的用户会将他们的有效 AD 凭据输入您的 Web 门户。但这可能超出了您的要求范围。)