Como emular um usuário em um ambiente Windows?

Question

Como emular um usuário em um ambiente Windows?

#1 resposta do (1 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

1

Muitos sistemas (como su do Linux ou emulate do Meditech) permitem que um administrador emule dinamicamente outro usuário.

Sou novo em um ambiente de servidor / domínio do Windows, como um administrador pode emular outro usuário (Active Directory)? Por exemplo, eu gostaria de logar uma máquina / servidor Windows XP (sob o domínio) como outro usuário (que não é meu, via emulação). Vamos supor que eu tenha direitos de administração.

Eu entendo que há um "Executar como ...", mas não é o mesmo que você ainda precisa da senha. Eu só estou olhando para emular o ambiente para que eu possa reproduzir problemas do usuário sem o usuário estar presente. Eu sei que existem coisas como copiar a pasta de perfil de usuários, mas não pega tudo (registro etc) e é um pouco uma abordagem hackish.

windows emulation

por JBurace 22.04.2013 / 17:12

3 respostas

Tags windows emulation

Como altero o diretório pessoal de www-data de / var / www para / home / www-data? Memcached em um ambiente de nuvem: servidor dedicado ou localhosts?

score 1 · Answer 1

Não pode ser feito. Mesmo se você pudesse, seria altamente improvável reproduzir com precisão os problemas do usuário sem que eles estivessem presentes para mostrar exatamente o que eles estavam fazendo. RunAs é a coisa mais próxima, mas se você quiser solucionar problemas de usuários, é um processo de vários passos que eu recomendo:

1) Mantenha uma estação de trabalho configurada da mesma maneira que a máquina de um usuário está configurada e 2) Faça login com uma conta local sem privilégios. Uma vez feito isso, 3) Tente reproduzir o problema. Isso ajudará você a restringir o problema a um problema com o computador, a conta ou o ambiente do usuário, respectivamente. Eu sei que estou te contando coisas que você provavelmente já sabe, mas eu senti que meu primeiro parágrafo não teria feito uma resposta completa por si só.

Se você quiser pegar o perfil de um usuário de uma máquina, existe a ferramenta USMT da Microsoft aqui , que foi feito para transferir arquivos e configurações de um usuário de uma máquina para outra.

score 0 · Answer 2

O mais próximo que você pode obter no Windows é criar um usuário de teste com os mesmos membros do grupo. Se você precisar depurar algo com seu perfil, o processo aceito é fazer isso via Assistência Remota ou ferramenta similar, o que permite ao usuário ficar de olho no que você está fazendo.

É sobre trilhas de auditoria. As informações da conta do Windows costumam ser usadas na criação de registros e trilhas de auditoria e, por esse motivo, ao usar o Active Directory, é totalmente inadequado que um administrador faça login como usuário. Você deseja que o nome do administrador seja anexado a qualquer coisa, mesmo durante a depuração de um problema.

Uma grande parte do motivo para isso é proteger os usuários dos administradores. Quando eu emito uma conta para um usuário, como administrador, ainda posso fazer muitas coisas, mas a única coisa que não posso fazer é assinar o nome do usuário para algo. Eu posso até mesmo assumir a conta de um usuário; é só que para fazer isso, eu devo mudar sua senha primeiro.

Isso é uma coisa boa! Isso ajuda a proteger os usuários finais de administradores desonestos. Se um administrador assumir uma conta de usuário por coisas ruins, o nome desse usuário ainda será encerrado em qualquer registro. Mas o usuário saberá, porque eles não terão mais acesso à conta. Os administradores nunca estão a par das senhas de usuários e, portanto, o administrador não poderá restaurar silenciosamente a conta para o usuário. Isso dá ao usuário a chance de registrar uma reclamação e defender-se contra as ações do administrador.

Pelo menos, isso é ideia. De um ponto de vista prático, se eu fosse realmente tão dissimulado e quisesse o nome de outra pessoa em alguma coisa, provavelmente poderia criar um script para realizar a escritura e atribuí-la ao usuário como um script de login ou similar. Além disso, suspeito que a maioria dos administradores pode sair de um caso de redefinição de senha antes que o usuário saiba o que aconteceu ... ou até mesmo deixe isso para um técnico de help desk de nível 1. Então nada é perfeito. Mas, pelo menos nesse último caso, um registro do reset também existiria em algum lugar.

score 0 · Answer 3

Há uma necessidade real de administradores de domínio ou afins de emular usuários, mas você não pode fazer isso agora.

Um exemplo seria uma instância em que um usuário não estava presente quando o admin / tech estava disponível para ajudar. Se o administrador puder emular o usuário (fazer login na conta do usuário sem alterar a senha) e corrigir qualquer problema, não há nada que indique que uma trilha de auditoria ainda não possa ocorrer, indicando que a conta do usuário foi emulada por qualquer administrador. Como os administradores têm controle total sobre todas as contas de usuários, não há motivo para excluir a emulação como uma solução.

Como todas as boas ferramentas, a emulação também é abusada por invasores que acreditam que podem utilizá-la para comprometer o Windows. Talvez para combater isso, a emulação poderia ser ativada ou desativada por meio da política de grupo para os administradores de sistema que optariam por usá-la. Ou talvez isso possa ser associado à conta do usuário no AD de tal forma que ele possa ser ativado e desativado com uma marca de seleção, assim como é possível ativar ou desativar uma conta do mesmo modo.

Enviei um feedback para a Microsoft sobre esse possível recurso. Espero ver implementado.