Eine Möglichkeit, Benutzeranmeldeinformationen zu verbreiten, ohne sie manuell zu jedem Computer hinzuzufügen

437
user1676874

Angenommen, Sie haben ein gemeinsam genutztes Netzlaufwerk. Für den Zugriff auf den Inhalt ist eine Benutzer- und Kennwortauthentifizierung erforderlich.

Benutzer und Kennwort können über den Befehl net use oder den Windows Credentials Manager zu einem einzelnen PC hinzugefügt werden und erhalten Zugriff auf das Laufwerk.

Alle Computer und das Laufwerk befinden sich im selben Netzwerk und können alle darauf zugreifen, sofern sie über die Anmeldeinformationen verfügen.

Ich habe auch versucht, Kopien meiner eigenen Windows-Anmeldeinformationen zu erstellen, da eine Kopie auf einem anderen PC wiederhergestellt werden kann, dies aber immer noch manuell erfolgen muss. Ich muss einen Weg finden, dies automatisch zu tun.

Wie können Sie verbreiten solche Berechtigungsnachweise 100 PCs zu sagen, ohne sie eins nach dem anderen hinzufügen?

Ist es möglich, die Netznutzung auf bestimmten Geräten zu verwenden, da wir ihre IPs kennen?

Die meisten Computer befinden sich in einer Domäne. Ein einzelner Benutzer wurde mit bestimmten Berechtigungen erstellt, und von allen Computern wird erwartet, dass sie ihre Anmeldeinformationen für die Arbeit mit der Ressource verwenden.

0
1) Befinden sich die Computer in einer Domäne? 2) Gibt es aufgrund des gravierenden Mangels an Sicherheit, den dieser Ansatz mit sich bringt, ein bestimmter Grund, warum Sie der Identität "Jeder" keinen Zugriff auf die gemeinsam genutzte Ressource gewähren? Twisty Impersonator vor 6 Jahren 0
Die Benutzer müssen sich in der Liste der authentifizierten Benutzer auf dem freigegebenen Laufwerk / Ordner befinden, um Zugriff ohne Eingabe von Anmeldeinformationen zu erhalten. Klicken Sie mit der rechten Maustaste auf das Laufwerk / den Ordner, den Sie freigeben möchten, auf der Registerkarte "Sicherheit" / "Freigabe" und fügen Sie den Benutzer der Berechtigungsliste hinzu. Beim nächsten Mal müssen sie keine Anmeldeinformationen eingeben. Narzard vor 6 Jahren 0
@ Twisty Imitator: Die meisten Computer befinden sich in einer Domäne. Es wurde ein einzelner Benutzer mit bestimmten Berechtigungen erstellt, und von allen Computern wird erwartet, dass sie ihre Anmeldeinformationen verwenden, um mit der Ressource zu arbeiten. Wollen Sie damit sagen, dass es stattdessen jedem erlauben sollte? user1676874 vor 6 Jahren 0
@Narzard: Ich habe noch nicht versucht, Benutzer manuell zu der freigegebenen Ressource hinzuzufügen. Wird dadurch jeder, der darauf zugreifen muss, Zugriff erhalten, ohne auf jedem Computer etwas tun zu müssen? user1676874 vor 6 Jahren 0
@ user1676874 Ich bin froh, dass sie in einer Domain sind. Dies ist leicht in einer Domäne möglich. Sie sollten eine Sicherheitsgruppe erstellen, ** ihr ** Zugriff auf die Ressource gewähren und dann alle Benutzer festlegen, die Zugriff auf diese Gruppe benötigen. Das ist der richtige Weg, um das zu tun, was Sie versuchen. Twisty Impersonator vor 6 Jahren 0
@ TwistyImpersonator Ich sehe, ich werde es morgen versuchen, ich hoffe auch, dass es funktioniert. user1676874 vor 6 Jahren 0

1 Antwort auf die Frage

0
Twisty Impersonator

Gemeinsame Anmeldeinformationen sind unsicher und schwer zu verwalten

Wie Sie festgestellt haben, ist es problematisch, mehreren Benutzern den sicheren Zugriff auf eine Ressource über ein einziges Benutzerkonto zu gewähren. Ich erkläre am Ende dieser Antwort, warum dies schwierig ist und warum es vermieden werden sollte.

Der korrekte Weg, um auf eine Ressource zuzugreifen, besteht jedoch darin, für jeden Benutzer, der Zugriff benötigt, individuelle Benutzerkonten zu verwenden. Wie Sie dies tun, unterscheidet sich für die Maschinen, die Teil der Domäne des Zielressourcenhosts sind, und für die Computer, die dies nicht tun.

Same-Domain-Mitglieder

Für Benutzer, die von Computern auf die Ressource zugreifen, die sich in derselben Domäne befinden wie der Computer, auf dem sich die Ressource befindet, müssen Sie lediglich den vorhandenen AD-Benutzerkonten, die Zugriff benötigen, Zugriff gewähren. Die Best-Practice-Methode lautet wie folgt:

  1. Erstellen Sie eine Domänensicherheitsgruppe.
  2. Gewähren Sie der Gruppe Zugriff auf die Zielressource.
  3. Machen Sie jedes AD-Benutzerobjekt, das Zugriff auf die Ressource benötigt, zu einem Mitglied der Sicherheitsgruppe.

Nicht-Domänenmitglieder

Für Benutzer, die Zugriff auf die Ressource benötigen, jedoch von Computern, die sich nicht in der Domäne der Ressource befinden, empfiehlt es sich weiterhin, einzelnen Benutzerkonten den Zugriff wie folgt zu gewähren:

  1. Erstellen Sie Active Directory-Benutzerkonten mit denselben Benutzernamen und Kennwörtern, die für die Anmeldung auf Computern außerhalb der Domäne verwendet werden, die Zugriff auf die Ressource benötigen.

    Wenn Sie aus irgendeinem Grund keinen Zugriff auf die Passwörter der Benutzer haben, können Sie alternativ entweder

    ein. Erstellen Sie AD-Benutzerkonten für jeden Nicht-Domänenbenutzer, und weisen Sie ein Kennwort Ihrer Wahl zu. In diesem Fall sollten Sie andere Benutzernamen als die auf einem Nicht-Domänencomputer verwendeten Namen angeben. Andernfalls stimmt der Benutzername überein, das Kennwort wird jedoch nicht blockiert und die erfolgreiche Anmeldung wird blockiert. (Bevorzugt.)

    b. Erstellen Sie ein einzelnes AD-Benutzerobjekt, das von allen Benutzern außerhalb der Domäne gemeinsam genutzt wird. (Nicht bevorzugt - siehe unten.)

  2. Machen Sie die neuen AD-Benutzerobjekte zu Mitgliedern der Gruppe, die Sie in Schritt 1 im obigen Abschnitt erstellt haben.

Warum sollte ein einzelnes Benutzerobjekt vermieden werden, wenn mehreren Benutzern Zugriff gewährt wird?

Wie Sie sehen, vermeidet der Best-Practice-Ansatz die Verwendung eines einzigen Benutzernamens und Kennworts, um Zugriff auf die Ressource zu gewähren. Dafür gibt es mehrere Gründe:

  • Gemeinsame Konten sind unflexibel, um die Zugriffsanforderungen zu ändern. Wenn der Zugriff eines Benutzers widerrufen werden soll, ist ein freigegebenes Konto unerbittlich. Sie müssen das Kennwort für das Konto ändern. Daher müssen Sie es auf allen Geräten ändern, für die noch Zugriff erforderlich ist.

  • Gemeinsame Passwörter sind arbeitsintensiv zu ändern. Wir gehen davon aus, dass Sie das Kennwort verwenden, um bestimmte Benutzer fernzuhalten, sodass eine Kennwortänderung unvermeidlich ist. Anstatt das Kennwort auf einem Gerät zu ändern, müssen Sie es auf vielen Geräten ändern, von denen die meisten häufig nicht zentral verwaltet werden. Erschwerend kommt hinzu, dass Geräte, die das alte Kennwort verwenden, bis zur Bereitstellung des neuen Kennworts nicht auf die Ressource zugreifen können.

  • Freigegebene Konten identifizieren autorisierte Benutzer nicht. Nirgendwo im System haben Sie Einblick in den Zugriff über das freigegebene Konto. Sie (und wer auch immer die Umgebung verwaltet) müssen eine separate Liste führen. Im Gegensatz zur direkten Berechtigung von Benutzerobjekten kann nicht garantiert werden, dass die externe Liste korrekt ist. Bei der Echtzeitüberwachung des Zugriffs auf die Ressource kann ein gemeinsam genutztes Konto nicht erkennen, wer die Ressource tatsächlich verwendet.

  • Freigegebene Konten sind eher einem Kompromiss ausgesetzt. Sie werden von mehr Menschen an mehreren Orten in mehr Systemen eingesetzt, die jeweils einen möglichen Kompromiss darstellen. Lesen Sie in Ausgabe Nr. 1 nach, wie schwierig es ist, dies durch eine Kennwortänderung zu beheben.

Massenverteilung eines einzigen Anmeldeinformations

Vielleicht stellen Sie fest, dass Sie weiterhin einen freigegebenen Benutzernamen und ein Kennwort verwenden müssen, um Zugriff auf die Ressource zu gewähren. Wenn Sie sich in diesem Fall finden, besteht die schlechte Nachricht darin, dass es nicht möglich ist, sie auf eine automatisierte Weise zu verteilen, die einen Anschein von Sicherheit bietet.

Das Hauptproblem bei der Automatisierung besteht darin, dass der freigegebene Berechtigungsnachweis im Anmeldekontext des auf die Ressource zugreifenden Benutzers verwendet / gespeichert werden muss . Dadurch werden Remote-Automatisierungsprozesse ausgeschlossen (es sei denn, Sie kennen das Kennwort jedes Benutzers. In diesem Fall müssen Sie keinen gemeinsam genutzten Berechtigungsnachweis verwenden).

Jetzt müssen Sie nur noch einzeln auf die Computer zugreifen, während der Benutzer anwesend ist, um sich beim Speichern der gemeinsam genutzten Anmeldeinformationen anzumelden, oder den Benutzern die Anmeldeinformationen direkt zur Verfügung stellen, damit sie diese selbst eingeben können.

Verwandte Probleme