Supongamos que tiene una unidad de red compartida, requiere autenticación de usuario y contraseña para acceder a su contenido.
El usuario y la contraseña se pueden agregar a una sola PC, mediante el comando net use o el Administrador de credenciales de Windows y se le otorga acceso a la unidad.
Todas las computadoras y el disco están en la misma red y todos pueden acceder siempre que tengan las credenciales.
También intenté crear copias de mis propias credenciales de Windows, ya que una copia se puede restaurar en otra PC, pero aún así debe hacerse manualmente; necesito encontrar una manera de hacerlo automáticamente.
Como puedesdesparramar¿Dichas credenciales para decir 100 PC, sin tener que agregarlas una por una?
¿Es posible utilizaruso netoen dispositivos específicos ya que conocemos sus IP?
La mayoría de las computadoras están en un dominio. Se creó un único usuario con permisos específicos otorgados y se espera que todas las computadoras usen sus credenciales para trabajar con el recurso.
Respuesta1
Las credenciales compartidas son inseguras y difíciles de administrar
Como ha descubierto, otorgar de forma segura a varios usuarios acceso a un recurso mediante una única cuenta de usuario es problemático. Al final de esta respuesta explico qué hace que esto sea difícil y por qué debe evitarse.
Pero primero, la forma correcta de otorgar acceso a un recurso es utilizar cuentas de usuario individuales para cada usuario que necesita acceso. La forma de hacer esto será diferente para las máquinas que forman parte del dominio del host del recurso de destino y para aquellas que no lo son.
Miembros del mismo dominio
Para los usuarios que acceden al recurso desde máquinas que están en el mismo dominio que la computadora que aloja el recurso, simplemente deben otorgar acceso a las cuentas de usuario de AD existentes que necesitan acceso. El método de mejores prácticas es el siguiente:
- Cree un grupo de seguridad de dominio.
- Conceda al grupo acceso al recurso de destino.
- Haga que cada objeto de usuario de AD que necesite acceso al recurso sea miembro del grupo de seguridad.
Miembros que no pertenecen al dominio
Para los usuarios que necesitan acceso al recurso pero desde máquinas que no están en el dominio del recurso, el método recomendado sigue siendo otorgar acceso a cuentas de usuario individuales de la siguiente manera:
Cree cuentas de usuario de Active Directory utilizando elmismonombres de usuario y contraseñas utilizados para iniciar sesión en las computadoras que no pertenecen al dominio y que requieren acceso al recurso.
Si por alguna razón no tiene acceso a las contraseñas de los usuarios, alternativamente puede:
a. Cree cuentas de usuario de AD para cada usuario que no sea de dominio y asigne una contraseña de su elección. En este caso, debe especificar nombres de usuario que seandiferenteque el utilizado en la computadora que no es del dominio; de lo contrario, el nombre de usuario coincidirá pero la contraseña no, lo que bloqueará el inicio de sesión exitoso. (Privilegiado.)
b. Cree un único objeto de usuario de AD que será compartido por todos los usuarios que no pertenecen al dominio. (No preferido; ver más abajo).
Haga que los nuevos objetos de usuarios de AD sean miembros del grupo que creó en el paso 1 de la sección anterior.
¿Por qué evitar un único objeto de usuario al conceder acceso a varios usuarios?
Como puede ver, el enfoque de mejores prácticas evita el uso de un único nombre de usuario y contraseña para otorgar acceso al recurso. Hay varias razones para esto:
Las cuentas compartidas son inflexibles para cambiar los requisitos de acceso.Cuando llega el momento de revocar el acceso de un usuario, una cuenta compartida no perdona. Debe cambiar la contraseña de la cuenta, lo que requiere cambiarla en todos los dispositivos que aún requieren acceso, lo que lleva a...
Cambiar las contraseñas compartidas requiere mucha mano de obra.Asumimos que está utilizando la contraseña para mantener alejados a ciertos usuarios, lo que hace que el cambio de contraseña sea inevitable. Pero en lugar de cambiar la contraseña en un dispositivo, debe cambiarla en muchos dispositivos, la mayoría de los cuales a menudo no se administran de forma centralizada. Para empeorar las cosas, hasta que se implemente la nueva contraseña, los dispositivos que utilizan la contraseña anterior no pueden acceder al recurso.
Las cuentas compartidas no identifican a los usuarios autorizados. En ninguna parte del sistema tendrá visibilidad de quién tiene acceso a través de la cuenta compartida. Usted (y cualquier otra persona que administre el medio ambiente) deberá mantener una lista separada. Y a diferencia de cuando se otorga autorización directamente a objetos de usuario, no haygarantizarla lista externa es precisa. Además, cuando se monitorea en tiempo real el acceso al recurso, una cuenta compartida no revela quién está usando realmente el recurso.
Las cuentas compartidas están más expuestas a verse comprometidas. Son utilizados por más personas de más lugares en más sistemas, y cada uno representa un posible punto de compromiso. Consulte el número 1 para conocer la dificultad que implica solucionar este problema con un cambio de contraseña.
Distribución masiva de una única credencial de inicio de sesión
Quizás descubra que aún debe emplear un nombre de usuario y una contraseña compartidos para otorgar acceso al recurso. Si se encuentra en este caso, la mala noticia es que no hay forma de distribuirlo convenientemente de forma automatizada que mantenga alguna apariencia de seguridad.
El principal problema de la automatización es el hecho de que es necesario usar/guardar la credencial compartida.en el contexto de inicio de sesión del usuario que accede al recurso. Esto descarta cualquier proceso de automatización remota (a menos que conozca la contraseña de cada usuario, en cuyo caso no necesita usar una credencial compartida).
Todo lo que queda es acceder a las computadoras una por una mientras el usuario está presente para que puedan iniciar sesión mientras usted almacena la credencial compartida, o proporcionar la credencial directamente a los usuarios para que puedan ingresarla ellos mismos.