Assistance informatique sans identifiants mis en cache?

4

Situation: votre PDG travaille à distance via un réseau privé virtuel (VPN) et doit installer un programme sur son ordinateur portable. Il n'a pas de droits d'administrateur local. Un administrateur est disponible pour vous aider, mais tente de saisir les informations d'identification de l'administrateur pour permettre l'installation du programme. Il échoue, probablement parce que les informations d'identification de l'administrateur ne sont pas mises en cache sur l'ordinateur portable (l'administrateur n'a jamais ouvert de session sur cet ordinateur). Avoir la connexion administrateur et l'installer ne fonctionnera pas car ses informations d'identification ne sont pas mises en cache. Rappelez-vous que nous sommes connectés via le VPN.

Authentification: Active Directory

Serveur: Windows 2008 R2

Ordinateur portable: Windows 7

Question: Comment puis-je éviter cela sans mettre en cache toutes les informations d'identification de l'administrateur sur l'ordinateur, ce qui serait mal avisé? (C'est-à-dire que je ne sais pas quel administrateur fournira le support.)

Solution possible: ajoutez temporairement le PDG au groupe de sécurité admin. Demandez-lui d'installer le programme. Puis retirez-le du groupe de sécurité admin. Ça marchera? Est-ce le moyen le plus sûr de le retirer? (Edit: cela n'a pas fonctionné.)

J'ai posé une question similaire, mais différente, ici: comment mettre en cache les informations d'identification sous Windows

alpiniste
la source

Réponses:

2

Les utilisateurs connectés via VPN doivent avoir une connectivité à un contrôleur de domaine (éventuellement en lecture seule) pour confirmer l'authentification du compte. Cela ressemble au centre de votre problème particulier. Si l'ordinateur Windows ne peut pas voir Active Directory, il ne sera pas en mesure de confirmer les modifications apportées au domaine, y compris vos administrateurs qui tentent de transformer l'utilisateur en administrateur. Travaillez avec votre fournisseur VPN pour vous assurer que les règles de pare-feu appropriées sont configurées pour l'authentification par domaine.

Une fois l'utilisateur connecté au VPN, l'administrateur système doit disposer d'un outil d'accès à distance pour pouvoir partager l'écran et afficher toutes les fenêtres de contrôle UAC qui apparaissent. Dameware et l'outil d'assistance à distance intégré fonctionnent bien. WebEx ne masque pas la session distante lorsque l'invite UAC s'affiche.

À l'aide de l'outil d'accès à distance, l'administrateur système peut cliquer avec le bouton droit de la souris sur un fichier du programme d'installation, sélectionner "Exécuter en tant qu'administrateur" ou "Exécuter en tant qu'utilisateur différent" et utiliser les informations d'identification de l'administrateur pour exécuter le programme d'installation. Lorsque l'utilisateur est connecté au VPN, l'ordinateur pourra s'authentifier auprès du contrôleur de domaine Active Directory et accorder à l'administrateur l'accès nécessaire pour exécuter le programme d'installation. Cela "met également en cache" les informations d'identification pour une utilisation future, comme si l'administrateur s'était connecté localement à l'avance et que l'utilisateur ne voyait ni ne connaissait le mot de passe de l'administrateur à aucun moment.

S'il s'agit d'un fichier MSI ou requiert la ligne de commande, cliquez avec le bouton droit de la souris sur l'icône d'invite de commandes dans le menu Démarrer, de la même manière que ci-dessus et, après l'authentification, utilisez MSIEXEC pour installer MSI.

Comme l’a mentionné Slipeer, LAPS sera un élément à configurer ultérieurement, car il ne résout pas le problème immédiat. Il résout le problème où un utilisateur ne dispose pas de connectivité réseau ou VPN en permettant à votre annuaire Active Directory de gérer des comptes d’administrateur locaux individuels. Toutefois, si l’utilisateur distant ne peut pas se connecter au domaine via VPN, il ne peut pas être poussé vers le système.

Si vous ne pouvez pas utiliser un outil d'accès à distance pour contourner le contrôle de compte d'utilisateur, vous pouvez utiliser compmgmt.msc sur une machine locale, vous connecter à la machine de l'utilisateur, créer un compte administrateur local temporaire et l'utiliser comme ci-dessus, puis le désactiver avant que l'utilisateur ne se déconnecte. du VPN. Encore une fois, cela ne peut être fait que si vous avez une connectivité à un contrôleur de domaine Active Directory.

cathoo
la source
Bien que je ne l'aie pas encore confirmé / testé, je pense que votre premier paragraphe est correct. Je pense qu'un problème différent que nous avons avec le pare-feu est probablement le coupable. J'essaierai de faire rapport et de noter votre réponse lorsque je le saurai à coup sûr.
mountainclimber
0

Solution possible: utilisez LAPS . Et l'administrateur peut toujours connaître le mot de passe de l'administrateur local. Et le mot de passe de l'administrateur local est toujours sécurisé et différent.

Slipeer
la source
Slipeer - Cela me fait peur: "Les mots de passe sont stockés en texte clair et peuvent être exposés si la délégation n'est pas correctement planifiée / déployée." Comment planifier / déployer correctement? Je cherche activement et je lis à ce sujet maintenant.
mountainclimber