AD: 2 utenti, stessa password

Non sono sicuro di come sia fatto, spiegherò lo scenario. gli utenti normali hanno accesso giornaliero, ma alcuni richiedono di tanto in tanto diritti di amministratore locale.

L'idea è di avere il loro normale account pubblicitario "user1", ma anche un account poweruser "PWuser1"

quindi quando hanno bisogno dell'accesso extra, eseguono l'autenticazione con PWuser1 e password, invece di dover riconnettersi o essere connessi con accesso extra quando non è necessario

Il trucco è che dovrebbero usare la stessa password, quindi quando user1 cambia password la stessa password dovrebbe essere impostata per PWuser1.

C'è un modo per farlo, per "replicare" la password sui 2 account.

active-directory

— ghiaccio
fonte

UAC non aiuta già con la parte "accesso extra solo quando necessario"?

— Grawity

Se per esempio hanno bisogno di eseguire un prompt dei comandi elevato, hanno bisogno dell'accesso dell'amministratore, quindi avrebbero bisogno dei privilegi extra in modo che l'UAC non aiutasse in questo caso, dal momento che avrebbe bisogno di un utente amministratore ecc.

— ice

Bene, quindi usano sempre l'utente admin, ma UAC mantiene tutti i programmi con privilegi regolari e "elevando" conferisce diritti di amministratore.

— Grawity

Gli amministratori di net localgroup [nome utente] / add / domain promuoveranno un utente a diventare un amministratore locale, anziché doverlo fare manualmente.

Per quanto riguarda la sincronizzazione delle password, non esiste un modo legittimo per scoprire la password esistente di un utente (anche se ci sono hack, ma è meglio evitarla) Quindi, ciò potrebbe essere fatto solo con una modifica della password.

Il problema che prevedo con il tuo approccio è che i due account avranno file e impostazioni completamente diversi. Pertanto, nessuno troppo praticabile. Poiché un singolo account di amministratore locale con gli Emirati Arabi Uniti sarebbe più praticabile.

Se ritieni che non sia abbastanza sicuro, potresti aggiungere una politica del software per impedire all'utente di eseguire software non ufficiale. Puoi farlo dai criteri di gruppo o utilizzare uno strumento su misura: http://sf.net/projects/softwarepolicy

Ricorda che essere un utente limitato non è comunque una panacea della sicurezza. Il motivo per cui la maggior parte del malware è bloccato è perché il malware non è stato progettato per funzionare con diritti limitati.

— IanR
fonte

ciao, grazie per la risposta, l'idea era anche che l '"account amministratore" sarebbe stato escluso dal login ecc., poiché sarebbe stato usato solo, per elevare i diritti dell'utente quando necessario. Immagino che non esiste un modo semplice per copiare automaticamente la password con hash su un altro account utente.

— ghiaccio,

No, anche se è possibile modificare a livello di codice la password in entrambi utilizzando "password nome utente net [/ domain]" oppure scrivere un'applet GUI per fare ciò con AutoIt.

— IanR