Suporte de TI sem credenciais armazenadas em cache?

5

Situação: Seu CEO está trabalhando remotamente via VPN e precisa instalar um programa em seu laptop. Ele não tem direitos de administrador local. Um administrador está disponível para ajudar, mas tenta inserir credenciais de administrador para permitir a instalação do programa e ele falha, presumivelmente porque as credenciais do administrador não estão armazenadas em cache no laptop (o administrador nunca fez logon neste computador). Ter o login de administrador e instalá-lo não funcionará porque suas credenciais não estão armazenadas em cache. Lembre-se que estamos conectados via VPN.

Autenticação: Diretório Ativo

Servidor: Windows 2008 R2

Laptop: Windows 7

Pergunta: Como evito isso sem armazenar todas as credenciais de administrador no computador, o que seria mal aconselhado? (Ou seja, não sei qual administrador fornecerá suporte).

Possível solução: Adicione temporariamente o CEO ao grupo de segurança do administrador. Peça-lhe para instalar o programa. Em seguida, remova-o do grupo de segurança do administrador. Isso funcionará? Essa é a maneira mais segura de fazer isso? (Edit: isso não funcionou.)

Eu fiz uma pergunta semelhante, mas diferente aqui: como fazer o cache de credenciais no Windows

    
por mountainclimber 27.12.2016 / 15:24

2 respostas

2

Os usuários conectados via VPN devem ter conectividade com um controlador de domínio (possivelmente somente leitura) para confirmar a autenticação da conta. Isso soa como o centro do seu problema particular. Se o computador com Windows não puder ver o Active Directory, ele não poderá confirmar nenhuma alteração baseada em domínio, incluindo seus administradores que tentam tornar o usuário um administrador. Trabalhe com seu provedor de VPN para garantir que as regras de firewall apropriadas estejam configuradas para autenticação baseada em domínio.

Com o usuário conectado à VPN, o administrador do sistema deve ter uma ferramenta de acesso remoto para poder compartilhar a tela e visualizar as janelas de controle do UAC que aparecem. O Dameware e a ferramenta integrada de Assistência Remota funcionam bem. O WebEx não exclui a sessão remota quando o prompt do UAC é exibido.

Usando a ferramenta de acesso remoto, o administrador do sistema pode clicar com o botão direito do mouse em um arquivo do instalador e selecionar "executar como administrador" ou "executar como outro usuário" e usar as credenciais de administrador para executar o instalador. À medida que o usuário é conectado à VPN, o computador poderá se autenticar no Controlador de Domínio do Active Directory e conceder ao administrador acesso para executar o instalador. Isso também "armazena em cache" as credenciais para uso futuro, como se o administrador estivesse logado localmente e o usuário não visse ou conhecesse a senha do administrador a qualquer momento.

Se for um arquivo MSI ou requerer a linha de comando, clique com o botão direito do mouse no ícone Prompt de Comando no menu Iniciar da mesma maneira acima e depois de autenticar use o MSIEXEC para instalar o MSI.

O LAPS, como mencionado por Slipeer, será algo a ser configurado em uma data posterior, já que não resolve o problema imediato. Ele soluciona o problema em que um usuário não tem conectividade de rede ou VPN, permitindo que o Active Directory gerencie contas de administrador locais individuais, mas se o usuário remoto não puder se conectar ao domínio por VPN agora, ele não poderá ser enviado ao sistema.

Se você não puder usar uma ferramenta de acesso remoto para passar pelo UAC, poderá usar o compmgmt.msc em uma máquina local, conectar-se à máquina do usuário, criar uma conta de administrador local temporária e usá-la acima e desativá-la antes o usuário se desconecta da VPN. Novamente, isso só pode ser feito se você tiver conectividade com um controlador de domínio do Active Directory.

    
por 27.12.2016 / 17:29
0

Posivelmente solução: use o LAPS . E o administrador sempre pode saber a senha do administrador local. E a senha do administrador local é sempre segura e diferente.

    
por 27.12.2016 / 15:31