Windows эквивалент Linux KSU (Kerberized суперпользователя) на Windows?
ksuKerberized super-user, команда может использовать файл кэша учетных данных (то есть, содержащий билет Kerberos для пользователя u1) для выполнения оболочки / команды с пользователем u1.
Я долгое время работал с Linux, и теперь я перехожу в мир Windows и домен Active Directory. Я новичок. Я понял, что в Windows учетные данные (также Krb) управляются и хранятся через службу LSASS, я понял, что команда RunAs выполняет задачу, аналогичную Linux su / sudo, но предоставляя имя пользователя / пароль. Я не могу найти команду для выполнения той же задачи с уже полученными учетными данными Krb.
Вопросы
- В Windows, как я могу выполнить скрипт на имя другого пользователя, используя полученные билеты Krb (хранящиеся в LSASS или другом файле кэша)? Есть ли команда?
- Или.. Есть ли способ сделать это программно с C#/Java?
- Или... Есть ли способ выполнить сценарий оболочки удаленно с GSSAPI, предоставив перенаправляемый билет Krb?
Возможность использовать Linux как файлы ccache для учетных данных... было бы здорово. С уважением
1 ответ
Боюсь, что в Windows нет способа заставить его работать таким же образом.
Довольно неудачное решение - использовать команду runas с /savecred параметр. Это сохраняет пароль, поэтому его нужно вводить только при первом использовании команды RunAs, но это крайне плохая идея, поскольку она создает зияющую дыру в безопасности. Есть также хитрость в том, что он работает только со встроенной учетной записью администратора, отключенной по умолчанию, что создает вторую зияющую дыру в безопасности.
Подробнее о том, как заставить это работать, смотрите Как создать ярлык, который позволяет обычному пользователю запускать приложение от имени администратора.
Я бы действительно советовал использовать команду RunAs с именем пользователя и указывать пароль во время выполнения.
Для удаленного выполнения см. Инструмент PsExec для запуска интерактивных командных приглашений на удаленных системах.