Manipulação personalizada de criação de perfil de usuário de domínio

2

Eu quero entrar no sistema de login do usuário do domínio e gerenciar minha própria criação de perfil local. Eu tenho duas questões básicas relacionadas:

  1. Como faço para interceptar a autenticação de usuário do domínio?
  2. Posso gerenciar pessoalmente a criação de perfis de usuário?
    • Usar perfis móveis não é uma opção
    • O uso de perfis obrigatórios também não é uma opção

Plataformas de destino - Windows 7 Enterprise, Professional, Home Premium (opcional)

Eu não me importo de usar o Active Directory, mas eu preferiria usar o software Linux (Samba 4?) porque todos os meus servidores estarão rodando Linux. Isso é relativamente não relacionado, porque eu só quero alguma documentação, ou até mesmo o que procurar no Google.

EDIT: Encontrei este link na página da Microsoft na msdn.

Também achei este útil para começar a personalizar o GINA.

Preciso de algum software especial para criar um pacote de autenticação? Posso acessar um recurso da web ou da rede desse script para validar as credenciais?

    
por beatgammit 31.03.2011 / 18:08

4 respostas

2

O que você poderia fazer nesse caso, é criar um serviço do Windows executando com privilégios LocalSystem e se comunicar com o provedor de credenciais.

Quando um usuário insere suas credenciais no ICredentialsProvider, ele entraria em contato com o serviço do Windows e o serviço manipulará a autenticação.

Após uma autenticação bem-sucedida, o serviço deve verificar se essa conta está presente localmente no sistema. Caso contrário, crie uma nova conta local com NetUserAdd e faça login com essa conta no sistema.

Tenha em mente que o ICredentialsProvider não tem os privilégios para criar uma conta local ou usar a maioria das funções Net *, por isso estou sugerindo a criação de um serviço do Windows com PrivS do sistema local.

    
por 06.04.2011 / 03:09
1

Se você quiser apenas fazer um pequeno número de alterações nos perfis, considere o uso da Configuração ativa.

Depois de configurá-lo na máquina, ele será executado logo após o carregamento do perfil do usuário, e você poderá fazer alterações específicas do usuário em seus arquivos / configurações, etc.

    
por 06.04.2011 / 14:22
0

Esta não é uma resposta completa, mas acho que é uma adição significativa à solução.

Nos sistemas baseados no Windows NT antes do Windows Vista, a Microsoft usava algo chamado GINA (Graphical Interface and Authentication) para executar grande parte da autenticação de nível superior para logins de usuários, mas também usava algo chamado WinLogin para o nível mais baixo. Com o GINA, um programador poderia criar uma interface de usuário personalizada e um back-end de autenticação para o WinLogin, e o WinLogin chamaria os métodos necessários para lidar com o login. Mas como tudo mais, com o Vista, tudo mudou.

No Vista, a Microsoft forneceu uma interface chamada ICredentialProvider que permite que o usuário registre um Provedor de Credenciais. Aqui é um artigo sobre o motivo da queda da GINA, que também oferece uma boa introdução ao novo sistema .

Como isso se tornou mais baseado em programação do que baseado em TI, vou em frente e crie uma pergunta no StackOverflow sobre os detalhes da implementação. Não parece que qualquer software especial seja necessário.

A segunda questão ainda permanece . Continuarei procurando uma resposta para saber se consigo lidar com a criação do meu próprio perfil. Eu acho que deveria ser possível, mas não tenho certeza.

    
por 02.04.2011 / 07:09
0

A maioria dos lugares que eu conheço que precisam obter informações em novos perfis de usuário faz isso modificando o perfil de usuário padrão de alguma forma. Esse perfil é importado para todos os novos perfis, muito parecido com /etc/skel em sistemas Unix. Este é, por necessidade, um processo estúpido, portanto, o lançamento de scripts personalizados como parte da cópia do perfil não é realmente possível, exceto os scripts de execução de login no usuário padrão.

    
por 06.04.2011 / 04:16