Angenommen, Sie haben ein freigegebenes Netzlaufwerk. Für den Zugriff auf die Inhalte ist eine Benutzer- und Kennwortauthentifizierung erforderlich.
Über den Befehl „net use“ oder den Windows-Anmeldeinformations-Manager können einem einzelnen PC Benutzer und Passwort hinzugefügt werden, und schon erhält er Zugriff auf das Laufwerk.
Alle Computer und das Laufwerk befinden sich im selben Netzwerk und alle können darauf zugreifen, sofern sie über die Anmeldeinformationen verfügen.
Ich habe auch versucht, Kopien meiner eigenen Windows-Anmeldeinformationen zu erstellen. Da eine Kopie auf einem anderen PC wiederhergestellt werden kann, dies aber immer noch manuell erfolgen muss, muss ich einen Weg finden, dies automatisch durchzuführen.
Wie kannst duverbreitensolche Anmeldeinformationen beispielsweise auf 100 PCs verteilen, ohne sie einzeln hinzufügen zu müssen?
Ist es möglich,Nettoverbrauchauf bestimmten Geräten, da wir ihre IPs kennen?
Die meisten Computer befinden sich in einer Domäne. Ein einzelner Benutzer wurde mit bestimmten Berechtigungen erstellt und alle Computer müssen seine Anmeldeinformationen verwenden, um mit der Ressource zu arbeiten.
Antwort1
Gemeinsam genutzte Anmeldeinformationen sind unsicher und schwer zu verwalten
Wie Sie festgestellt haben, ist es problematisch, mehreren Benutzern mit einem einzigen Benutzerkonto sicher Zugriff auf eine Ressource zu gewähren. Ich erkläre am Ende dieser Antwort, was dies schwierig macht und warum es vermieden werden sollte.
Zunächst einmal müssen Sie den Zugriff auf eine Ressource richtig gewähren, indem Sie für jeden Benutzer, der Zugriff benötigt, ein eigenes Benutzerkonto verwenden. Die Vorgehensweise ist für die Maschinen, die Teil der Domäne des Zielressourcenhosts sind, und für die Maschinen, die nicht Teil der Domäne sind, unterschiedlich.
Mitglieder derselben Domäne
Benutzern, die von Computern aus auf die Ressource zugreifen, die sich in derselben Domäne befinden wie der Computer, auf dem die Ressource gehostet wird, müssen Sie lediglich den vorhandenen AD-Benutzerkonten, die Zugriff benötigen, Zugriff gewähren. Die bewährte Methode lautet wie folgt:
- Erstellen Sie eine Domänensicherheitsgruppe.
- Gewähren Sie der Gruppe Zugriff auf die Zielressource.
- Machen Sie jedes AD-Benutzerobjekt, das Zugriff auf die Ressource benötigt, zu einem Mitglied der Sicherheitsgruppe.
Nicht-Domänenmitglieder
Für Benutzer, die Zugriff auf die Ressource benötigen, jedoch von Computern aus, die sich nicht in der Domäne der Ressource befinden, besteht die Best Practice-Methode weiterhin darin, einzelnen Benutzerkonten wie folgt Zugriff zu gewähren:
Erstellen Sie Active Directory-Benutzerkonten mit demDasselbeBenutzernamen und Kennwörter für die Anmeldung bei Nicht-Domänencomputern, die Zugriff auf die Ressource benötigen.
Wenn Sie aus irgendeinem Grund keinen Zugriff auf die Passwörter der Benutzer haben, können Sie alternativ Folgendes tun:
a. Erstellen Sie AD-Benutzerkonten für jeden Nicht-Domänenbenutzer und vergeben Sie ein Passwort Ihrer Wahl. In diesem Fall sollten Sie Benutzernamen angeben, dieandersals die auf dem Nicht-Domänencomputer verwendete, da sonst der Benutzername übereinstimmt, das Kennwort jedoch nicht, wodurch eine erfolgreiche Anmeldung verhindert wird. (Bevorzugt.)
b. Erstellen Sie ein einzelnes AD-Benutzerobjekt, das von allen Nicht-Domänenbenutzern gemeinsam genutzt wird. (Nicht bevorzugt – siehe unten.)
Machen Sie die neuen AD-Benutzerobjekte zu Mitgliedern der Gruppe, die Sie in Schritt 1 im obigen Abschnitt erstellt haben.
Warum sollte beim Gewähren des Zugriffs für mehrere Benutzer ein einzelnes Benutzerobjekt vermieden werden?
Wie Sie sehen, vermeidet der Best-Practice-Ansatz die Verwendung eines einzelnen Benutzernamens und Passworts, um Zugriff auf die Ressource zu gewähren. Dafür gibt es mehrere Gründe:
Gemeinsam genutzte Konten sind bei sich ändernden Zugriffsanforderungen nicht flexibel.Wenn es darum geht, den Zugriff eines Benutzers zu widerrufen, ist ein gemeinsam genutztes Konto unversöhnlich. Sie müssen das Kennwort für das Konto ändern, was eine Änderung auf allen Geräten erfordert, die weiterhin Zugriff benötigen, was zu ... führt.
Das Ändern gemeinsam genutzter Passwörter ist arbeitsintensiv.Wir gehen davon aus, dass Sie das Passwort verwenden, um bestimmte Benutzer auszuschließen, sodass eine Passwortänderung unumgänglich ist. Anstatt das Passwort jedoch auf einem Gerät zu ändern, müssen Sie es auf vielen Geräten ändern, von denen die meisten häufig nicht zentral verwaltet werden. Erschwerend kommt hinzu, dass Geräte mit dem alten Passwort nicht auf die Ressource zugreifen können, bis das neue Passwort bereitgestellt wird.
Gemeinsam genutzte Konten identifizieren keine autorisierten Benutzer. Nirgendwo im System haben Sie Einblick darüber, wer über das gemeinsame Konto Zugriff hat. Sie (und alle anderen, die die Umgebung verwalten) müssen eine separate Liste pflegen. Und anders als bei der direkten Erteilung von Berechtigungen für Benutzerobjekte gibt es keineGarantiedie externe Liste ist korrekt. Darüber hinaus lässt sich bei der Echtzeitüberwachung des Zugriffs auf die Ressource anhand eines gemeinsam genutzten Kontos nicht erkennen, wer die Ressource tatsächlich nutzt.
Bei gemeinsam genutzten Konten ist die Gefahr einer Kompromittierung größer. Sie werden von mehr Leuten an mehr Orten auf mehr Systemen verwendet und stellen somit einen möglichen Angriffspunkt dar. Weitere Informationen zu den Schwierigkeiten, die mit einer Kennwortänderung verbunden sind, finden Sie unter Problem Nr. 1.
Massenverteilung einzelner Anmeldeinformationen
Möglicherweise müssen Sie noch immer einen gemeinsamen Benutzernamen und ein gemeinsames Passwort verwenden, um Zugriff auf die Ressource zu gewähren. Wenn dies bei Ihnen der Fall ist, ist die schlechte Nachricht, dass es keine Möglichkeit gibt, die Ressource bequem und automatisiert zu verteilen und dabei auch nur den Anschein von Sicherheit zu wahren.
Das Hauptproblem bei der Automatisierung ist die Tatsache, dass die gemeinsamen Anmeldeinformationen verwendet/gespeichert werden müssenim Anmeldekontext des Benutzers, der auf die Ressource zugreift. Dadurch werden alle Remote-Automatisierungsprozesse ausgeschlossen (es sei denn, Sie kennen die Passwörter aller Benutzer. In diesem Fall müssen Sie keine gemeinsamen Anmeldeinformationen verwenden).
Sie müssen dann nur noch in Anwesenheit der Benutzer nacheinander auf die Computer zugreifen, damit diese angemeldet sein können, während Sie die gemeinsamen Anmeldeinformationen speichern, oder Sie müssen den Benutzern die Anmeldeinformationen direkt bereitstellen, damit sie diese selbst eingeben können.