目前,我们有几台计算机未加入域。
在浏览器中,LastPass 用于自动填写一些网络应用程序的密码。显然,目前这是手动设置的。但是,对于每个使用计算机的人来说,只有一个帐户。
如果这些是加入域的,我们如何利用组策略将这些保存的密码部署到所有帐户,使用 LastPass 还是仅将密码保存在浏览器或 Windows 凭据保管库中?
复制文件是不够的,因为凭据是针对帐户存储的,而不是在任何应用程序文件中存储的。
我看到的与此相关的一切都是使用组策略来禁用在浏览器中保存密码,这与我们想要做的完全相反。
答案1
AD 没有直接在策略中将密码分发给多个用户的机制。这是非常不安全的。
由于共享帐户/密码不是一个好主意,您可以编写一个脚本将帐户和密码添加到用户密码库,然后在 AD 策略中部署该脚本进行一次性运行。
有一个安全的工作流程可以在 AD 域加入环境中分配透明的用户访问权限。这适用于域加入的应用程序。
1) 在您的浏览器中为 Web 应用程序启用 SPNEGO 身份验证(组策略可以做到这一点)。
2) 为您的 Web 应用程序启用 Kerberos 身份验证,并为授权用户指定域组。有些应用程序本身就执行此操作。使用用户凭据服务的 IIS 托管应用程序可以配置为使用 Kerberos。
3) 将所有域用户添加到域访问组。
通过这种设置,访问对于用户来说变得透明。