2 votes

Comment puis-je sauvegarder un identifiant d'administrateur pour l'utiliser sur plusieurs comptes d'utilisateurs ?

Je réalise que ce n'est peut-être pas la meilleure pratique en termes de sécurité. Mais il s'agit d'un scénario très spécifique et mon département a décidé que c'était la meilleure façon de procéder.

Mon département est actuellement chargé de la maintenance de quelques machines que nous autorisons à être utilisées par des utilisateurs standard pour interagir avec une application GUI. Cette application ne nécessite normalement pas de privilèges élevés pour fonctionner, mais elle nécessite fréquemment une mise à jour pour fonctionner, et la mise à jour de l'application nécessite des privilèges élevés.

Nous luttons contre ce problème depuis des mois, et il n'est pas possible de demander à un administrateur de venir et d'entrer ses informations d'identification pour autoriser la mise à jour. Nous n'avons pas non plus la main d'œuvre nécessaire pour exécuter manuellement les mises à jour, car ce programme prend beaucoup de temps à se lancer et la mise à jour doit être lancée depuis l'application.

Nous avons essayé d'utiliser des tâches programmées pour lancer l'application avec des privilèges élevés, mais ces tâches lancent l'application sans interface graphique, ce qui empêche l'utilisateur de lancer la mise à jour depuis l'application.

Après de nombreuses réunions, nous avons décidé d'utiliser /savecred pour stocker un login d'administrateur local dans un fichier batch afin de lancer l'application avec des privilèges élevés et de convertir le fichier batch en EXE pour empêcher les utilisateurs de modifier le raccourci.

Le problème que nous avons rencontré est que le justificatif d'identité doit être sauvegardé en entrant le mot de passe administrateur une fois par utilisateur standard, ce qui n'est pas faisable car nous avons beaucoup d'utilisateurs qui vont et viennent, et cela finirait par prendre plus de temps que de simplement entrer le mot de passe sur demande.

Encore une fois, je suis conscient qu'il s'agit d'une solution imparfaite et peu sûre, mais nous avons décidé que c'était la meilleure solution pour un problème unique.

TL;DR : Comment puis-je forcer un justificatif d'identité enregistré dans le Gestionnaire de justificatifs Windows à être mis en miroir sur plusieurs comptes d'utilisateur sans avoir à saisir le mot de passe de chaque compte ?

0voto

harrymc Points 394411

Je suggère une approche différente : laisser l'utilisateur exécuter cette seule application en tant qu'administrateur sans qu'il connaisse le mot de passe de l'administrateur.

Les produits qui peuvent aider :

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X