Utiliser des runas avec un compte de domaine sur une machine n'appartenant pas au domaine sous Windows 2k / XP / Vista / 7

19

Mon ordinateur Windows 7 est sur un réseau local dans un intranet avec un domaine Windows, mais il n'est pas membre de ce domaine. Cependant, je dois exécuter certaines applications sous des comptes de domaine pendant que je suis connecté localement en tant qu'administrateur local.

Je sais que vous pouvez utiliser l' runasutilitaire pour démarrer des processus sous des comptes différents de celui sous lequel vous vous êtes connecté. Le fait est que Windows doit connaître ou authentifier le compte sous lequel un processus démarre.

Quand je fais quelque chose comme:

runas /user:DOMAIN\USERNAME cmd.exe

(et entrez ensuite un mot de passe correct) J'obtiens ce genre d'erreur:

RUNAS ERROR: Unable to run - cmd.exe
1326: Logon failure: unknown user name or bad password.

Quelqu'un sait-il comment y faire face?

Pavel
la source

Réponses:

35

La runascommande dispose d'une option supplémentaire /netonlyqui permet d'exécuter des applications locales en tant qu'utilisateur de domaine, sur une machine n'appartenant pas au domaine. Cela a fonctionné pour moi lorsque j'ai exécuté sur Windows 7 Professionnel - mais cela nécessite une invite de commande élevée.

runas /netonly /user:domain\user command

Plus de détails sur le site ci-dessous:

http://codebetter.com/jameskovacs/2009/10/12/tip-how-to-run-programs-as-a-domain-user-from-a-non-domain-computer/

Mike
la source
3
L'ajout de a /netonlyfonctionné pour moi où ma machine se trouve sur un domaine, mais un domaine différent de celui de l'utilisateur que je devais emprunter.
Cela a fonctionné pour moi, même si je ne pensais pas que cela allait se passer, car le nom d'utilisateur connecté dans la fenêtre de connexion était toujours grisé. Mais après la connexion, j'exécute la requête "sélectionnez SYSTEM_USER" et c'était correct.
JumpingJezza
1

À moins que je ne comprenne mal votre question, vous essayez d'utiliser les informations d'identification de domaine pour vous connecter à une machine qui n'est pas membre de ce domaine. Cela ne peut pas être fait. Les comptes de domaine se connectent uniquement aux ordinateurs de domaine. Les comptes locaux se connectent uniquement à la machine locale (sauf exceptions).

Kara Marfia
la source
Ok, merci pour votre réponse claire et complète. Cependant, cela me semble étrange: ma machine n'est pas sur le domaine. Cependant: si je veux utiliser les ressources du domaine, telles que les dossiers / imprimantes partagés, j'émets simplement net use \\ server \ resource / user: domain \ domainuser et je fournis mon mot de passe de domaine et je peux y accéder. Pourquoi ne puis-je pas utiliser les runas également?
Pavel
Lorsque vous joignez une machine au domaine, cela crée un niveau de confiance plus élevé entre la machine et le domaine par rapport aux ressources partagées. Permettre à un utilisateur de se connecter à une imprimante ou à un partage de fichiers est beaucoup plus sûr (du point de vue de l'administrateur) que de joindre une machine inconnue au domaine. La réponse courte est que tout est pour la sécurité. J'espère que cela pourra aider.
Kara Marfia
1
Autrement dit, pour les éléments distants partagés, l'ordinateur n'appartenant pas au domaine ne fait pas confiance au domaine. Il s'agit simplement de transmettre les informations d'identification pour accéder aux ressources distantes. Autoriser un utilisateur à exécuter des programmes est une tout autre chose, en particulier lorsque (puisqu'il ne sait rien du domaine / ne fait pas confiance au domaine), l'ordinateur hors domaine ne sait même pas avec certitude que l'utilisateur existe, encore moins qu'il devrait l'être. autorisé à exécuter des programmes.
Slartibartfast
1
Kara - Je pense que vous avez mal compris la question. Il demande comment se connecter à un ordinateur qui fait partie d'un domaine avec des informations d'identification pour ce domaine, mais à partir d' un ordinateur qui n'est pas joint au domaine. Runas est la réponse qu'il cherche.
MegaMatt
-1

J'utilise toujours Runas dans mon environnement AD comme ceci:

runas / env / profile / user: domain \ useraccnt cmd

Essayez-le, ça marche toujours pour moi!

r0ca
la source
1
Merci, r0ca. Le truc, c'est que mon ordinateur n'est pas sur le domaine que j'utilise dans la commande "runas". En fait, ce n'est pas du tout un domaine. J'ai utilisé un autre conseil à partir d'ici: serverfault.com/questions/88208/… ksetup / setrealm YOURDOMAIN.TLD ksetup / addkdc YOURDOMAIN.TLD yourkdc.yourdomain.tld ksetup / setmachpassword the-password-from-above ksetup / mapuser yourdomainaccount @ YOURDOMAIN. TLD yourlocalaccount Maintenant, j'obtiens ceci: 1787: La base de données de sécurité sur le serveur n'a pas de compte d'ordinateur pour cette relation d'approbation de poste de travail.
Pavel
Vous ne pourrez pas effectuer cette opération tant que l'ordinateur n'est pas répertorié dans le domaine. Vous devriez alors RDP sur un PC;)
r0ca
Mais +1 pour la ligne ci-dessus, intéressant!
r0ca