我有一个服务器,我有技术人员需要能够访问使用共享凭据。 但是,这样做违反了我们的安全策略(!)。 我需要每个用户都能够使用他们自己的凭据进行身份validation,但是所涉及的服务器必须使用某个login才能login(这两个要求明显是截然相反的)。
我认为这将是一个伟大的应用程序的RADIUS服务器。 我知道如何设置RADIUS从Windows – >思科,但我不知道如何使用RADIUS来validationWindows – > Windows。
可以这样做吗? 如果是这样,怎么样?
把机器放在你的域中。 在控制台会话上保留应用程序login。 将它作为TS服务器授权,让他们通过RDP和他们的域帐户login。
/编辑 –好吧,我不明白这一点。 我的解决scheme仍然有效 – 如果它位于域中(或位于信任域的域中),那么他们可以通过CIFS / SMB或其他使用Windows身份validation的身份validation和访问。 为了使Windows对本地SAM或域以外的其他内容进行身份validation,您必须replaceGINA,不存在用于select其他身份validation源的内置function。 这就是GINA的用途 – 如果你想使用(或build立)其他authentication选项。 就我所知,MS不会做任何其他的GINA。 pGina说,它将与RADIUS协同工作,我自己并没有使用它,但是我知道它已经存在很长一段时间了。
嗯…一个有趣的问题。 一个快速的谷歌,我遇到了一个论坛post,给了我一个主意。
拨号networking,通过拨号networkinglogin通过VPNlogin。 这可能会让你跟踪login。
这是一个疯狂的想法…
让技术人员分别拥有自己的login名,然后运行共享帐户的资源pipe理器shell。 这样,每个技术的login都可以在事件查看器中logging,但是他们仍然可以在特定的login下访问幽灵程序。
把它看作是犹太人区的窗户的Sudo(商标)。
第一:
要更改为共享帐户:
runas /user:sharedaccount cmd (创build以共享帐户运行的命令提示符) explorer.exe 要回到科技的个人帐户:
explorer.exe – >单击确定