Windows-Äquivalent zu Linux-ksu (Kerberisierter Superuser) unter Windows?

524
Fabiano Tarlao

ksuDer Befehl Kerberized super-user kann eine Cache-Datei mit Berechtigungsnachweisen (dh die das Kerberos-Ticket für Benutzer u1 enthält ) verwenden, um eine Shell / einen Befehl mit Benutzer u1 auszuführen.

Ich habe lange mit Linux gearbeitet und jetzt wechsle ich in die Windows-Welt und die Active Directory-Domäne. Ich bin ein totaler Neuling. Ich habe verstanden, dass unter Windows Anmeldeinformationen (auch Krb) über den LSASS-Dienst verwaltet und gespeichert werden. Ich habe verstanden, dass der Befehl RunAs eine Aufgabe ausführt, die Linux su / sudo ähnelt, aber Benutzername / Kennwort bereitstellt. Ich kann keinen Befehl finden, um dieselbe Aufgabe mit bereits erworbenen Krb-Anmeldeinformationen auszuführen.

Fragen

  • Wie kann ich unter Windows ein Skript im Namen eines anderen Benutzers ausführen, indem Sie erworbene Krb-Tickets verwenden (in LSASS oder einer anderen Cache-Datei gespeichert)? Gibt es einen Befehl?
  • Oder .. Gibt es eine Möglichkeit, dies programmgesteuert mit C # / Java durchzuführen?
  • Oder .. Gibt es eine Möglichkeit, ein Shell-Skript mit GSSAPI remote auszuführen, indem ein weiterleitbares Krb-Ticket bereitgestellt wird?

In der Lage zu sein, Linux wie Ccache-Dateien für Anmeldeinformationen zu verwenden ... wäre großartig. Grüße

0

1 Antwort auf die Frage

1
harrymc

Ich befürchte, dass es nicht möglich ist, Windows in genau derselben Weise zum Laufen zu bringen.

Eine eher lahme Lösung ist die Verwendung des Befehls runas mit dem /savecredParameter. Dadurch wird das Kennwort gespeichert, sodass es nur bei der ersten Verwendung des Befehls RunAs eingegeben werden muss. Dies ist jedoch eine äußerst schlechte Idee, da dies eine klaffende Sicherheitslücke verursacht. Außerdem gibt es die Möglichkeit, dass es nur mit dem integrierten Administratorkonto funktioniert, das standardmäßig deaktiviert ist, wodurch eine zweite Sicherheitslücke entsteht.

Einzelheiten zur Funktionsweise finden Sie unter So erstellen Sie eine Verknüpfung, mit der ein Standardbenutzer eine Anwendung als Administrator ausführen kann .

Ich würde wirklich empfehlen, den RunAs-Befehl mit Benutzername zu verwenden und das Kennwort zur Laufzeit anzugeben.

Informationen zur Remote-Ausführung finden Sie im PsExec-Tool zum Starten interaktiver Befehlsaufforderungen auf Remote-Systemen.

Verwandte Probleme