O equivalente no Windows do Linux ksu (superusuário kerberizado) no Windows?

0
O comando

ksu , super-usuário Kerberizado, é capaz de usar um arquivo de cache de credenciais (ou seja, o tíquete Kerberos para o usuário u1 ) para executar um shell / comando com o usuário u1. / p>

Trabalhei muito tempo com o Linux e agora estou mudando para o mundo do Windows e o domínio do Active Directory. Sou um novato total. Eu entendi que, no Windows, credenciais (Krb também) são gerenciadas e armazenadas através do serviço LSASS, eu entendi que o comando RunAs executa uma tarefa que é semelhante ao Linux su / sudo mas fornecendo nome de usuário /senha. Não consigo descobrir um comando para executar a mesma tarefa com as credenciais já adquiridas do Krb.

Perguntas

  • No Windows, como posso executar um script no nome de outro usuário usando tickets Krb adquiridos (armazenados no LSASS ou outro arquivo de cache)? Existe um comando?
  • Ou .. Existe uma maneira de fazer isso programaticamente com C # / Java?
  • Ou .. Existe uma maneira de executar um script de shell remotamente com o GSSAPI, fornecendo um ticket Krb que pode ser reencaminhado?

Ser capaz de usar os arquivos ccache do Linux como credenciais ... seria ótimo. Atenciosamente

    
por Fabiano Tarlao 03.08.2017 / 15:44

1 resposta

1

Tenho receio de que não há como fazê-lo funcionar no Windows exatamente mesma maneira.

Uma solução bastante fraca é usar o comando runas com o parâmetro /savecred . Isso salva a senha, portanto, ela deve ser inserida apenas na primeira vez que o comando RunAs for usado, mas é uma péssima ideia, pois cria uma brecha de segurança. Há também a pegadinha que só funciona com o built-in Conta de administrador, desativada por padrão, que cria uma segunda falha de segurança.

Para detalhes sobre como fazer isso funcionar, consulte Como Para criar um atalho que permita a um usuário padrão executar um aplicativo como administrador .

Eu realmente aconselho usar o comando RunAs com nome de usuário e fornecer o senha em tempo de execução.

Para execução remota, consulte a ferramenta PsExec para iniciar comandos de comandos interativos em sistemas remotos.

    
por 03.08.2017 / 18:11