Permissions

在使用者帳戶下執行管理程序 - 域版

  • November 7, 2015

我在這裡扯頭髮 - 需要一點幫助。

看來經典的 RUNAS 在域環境下不起作用。至少,我無法讓它在基於域的 Windows Server 2012 R2 和 Windows 8.1 環境中執行。

我最初嘗試根據本文設置託管服務帳戶,以便創建一個管理帳戶,該帳戶可用於為一個對自己的 britches 過於專橫的程序進行權限升級,但是雖然我能夠在伺服器上做所有事情,最後的步驟(在需要賬號的Win8,1Ent工作站上的操作)並沒有那麼順利。本質上,所需的命令Install-ADServiceAccount會引發錯誤,因為找不到它:

PS C:\Users\René Kåbis.DOMAIN> Install-ADServiceAccount Services
Install-ADServiceAccount : The term 'Install-ADServiceAccount' is not recognized as the name of a cmdlet, function,
script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is
correct and try again.
At line:1 char:1
+ Install-ADServiceAccount Services
+ ~~~~~~~~~~~~~~~~~~~~~~~~
   + CategoryInfo          : ObjectNotFound: (Install-ADServiceAccount:String) [], CommandNotFoundException
   + FullyQualifiedErrorId : CommandNotFoundException

所以,我被迫放棄這種方法並轉向標準的管理賬戶。哦,可能被黑客入侵的帳戶的歡樂狂喜!

問題是,那些也不起作用。嗯,他們會,只是不像我需要的那樣。

我以不同的名稱創建了一個管理帳戶(以防現有服務帳戶和這個新的管理員帳戶發生衝突)。當我進入工作站時,使用受限使用者名登錄,然後點兩下 prima-donna 應用程序,我會看到標準的“此程序需要管理員訪問權限”yaddah、yaddah、yaddah。在生成的登錄框中,我可以輸入新的管理員帳戶憑據並登錄。到目前為止,一切都很好,但這並不安全,因為知道這些憑據的任何人都可以使用這些憑據來獲得對任何機器的管理員訪問權限。

所以我試試runas。好吧,我使用以下字元串:

C:\Program Files (x86)\Microsoft Retail Management System\Store Operations>runas
/user:rms@domain /savecred SOMANAGER.exe
Attempting to start SOMANAGER.exe as user "rms@domain" ...
Enter the password for rms@domain:
Attempting to start SOMANAGER.exe as user "rms@domain" ...
RUNAS ERROR: Unable to run - SOMANAGER.exe
1783: The stub received bad data.

嗯……好吧。但是檢查rundll32.exe keymgr.dll, KRShowKeyMgr顯示機器中存在的憑據!於是我再試一次,

C:\Program Files (x86)\Microsoft Retail Management System\Store Operations>runas
/user:rms@domain /savecred SOMANAGER.exe
Attempting to start SOMANAGER.exe as user "rms@domain" ...
RUNAS ERROR: Unable to run - SOMANAGER.exe
740: The requested operation requires elevation.

威士忌酒。探戈。狐步舞。

我正在使用的帳戶具有提升程序的能力。我通過正常打開程序並將這些完全相同的憑據放入出現的登錄框中證明了這一點。那麼為什麼會發生這種情況呢??

我發現使Microsoft Dynamics 零售管理系統在受限使用者域帳戶下正常執行的唯一方法是使用一種方法,並且只有一種方法:啟用 UAC。

我確信使用者訪問控制是一個絕妙的想法,並且自 Vista 以來顯著提高了 Windows 生態系統的安全性,不幸的是,Dynamics RMS 似乎是 2007 年之前編寫的基於 COM/DCOM 的軟體。因此,它只能正常執行當 UAC 完全關閉時,在基於非管理域的帳戶下。

當然,非基於域的帳戶完全是另外一回事。如果您有一台獨立的電腦,讓 RUNAS 正確啟動 Dynamics RMS 就像在公園裡散步一樣。在基於域的系統下,這是任何系統管理員最擔心的噩夢。

我做了幾件事來讓 RMS 啟動並執行,但是在我努力探索的狂野和毛茸茸的小道上,我不確定什麼是有效的,什麼什麼也沒做。因此,這裡列出了我沒有“展開”到預設設置的那些東西(一旦我確定它沒有做任何有成效的事情,我總是小心地展開設置——但這就是問題所在。有些事情我只是不確定)。

  • 進入程序執行檔的屬性並為“所有使用者”(在域環境中底部的額外按鈕)設置與 Windows XP SP3 的兼容性並設置為以管理員身份啟動。

  • 進入每個程序執行檔的清單文件(是的,它們有清單文件)並註釋掉要求管理執行級別的 XML 聲明。

  • 進入域的組策略,並更改以下內容:

    • 使用者帳戶控制:管理員批准模式下管理員的提升提示行為 -提升而不提示
    • 使用者帳戶控制:檢測應用程序安裝並提示提升 -已禁用
    • 使用者帳戶控制:僅提升安裝在安全位置的 UIAccess 應用程序 -已禁用
    • 使用者帳戶控制:在管理員批准模式下執行所有管理員 -已禁用

一旦這些設置完全設置好(並且電腦重新啟動,以便電腦 GPO 可以生效),RMS 就能夠從執行檔本身啟動,而不需要任何類型的登錄憑據,即使是從已確認的受限使用者帳戶域。

如果有人追隨我的腳步,我強烈建議您不要先嘗試。盡你所能避免關閉 UAC。UAC 確實是 Windows 安全的一個非常重要的部分,我只是用最沉重的心禁用了它。只是因為我正在處理一個相對較舊的程序(沒有目前的等效程序 - 預計在 2014 年的某個時候會出現一個全新的和重建的變體),我正在這樣做。

要安裝活動目錄 powershell 模組:

在伺服器上安裝遠端伺服器管理工具功能。

在客戶端下載 rsat 安裝程序後安裝 rsat 工具。

然後執行’import-module activedirectory’。

這使得活動目錄 cmd-let 可供使用。

參考連結: http ://technet.microsoft.com/en-us/magazine/gg413289.aspx

如果唯一的目標是服務帳戶,那麼這是一個稍微笨拙的過程,並且會留下需要清理的殘留物。


$$ EDIT based on your new error message in the commentary $$ 我目前無法訪問 2012 域,因此只能猜測並仔細查看。看來指南中的命令是使用域管理員帳戶執行的,可能是在提升的 ps 控制台中。您使用的帳戶是否具有相應的訪問級別? 此外,您是否滿足“gMSA 的使用僅限於安全描述符 msDS-GroupMSAMembership 中指定的那些電腦”的要求?

最後,您所遵循的指南似乎是 Microsoft 原始部落格文章的大部分複制/粘貼,但也是經過精簡的副本。如果不仔細檢查它,我建議您會在原版中找到更完整的說明:http: //blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed -service-accounts.aspx

引用自:https://serverfault.com/questions/556577