web-dev-qa-db-ja.com

ユーザーアカウントで管理プログラムを実行する-ドメインエディション

私はここで髪を引き裂いています-少し助けを使うことができます。

従来のRUNASはドメイン環境では機能しないようです。少なくとも、Windows Server 2012R2およびWindows8.1ドメインベースの環境で実行することはできません。

この記事 に従って管理されたサービスアカウントを最初にセットアップしようとしましたが、それは自分の欠点に対してあまりにも偉そうなプログラムの特権エスカレーションに使用できる管理アカウントを作成するためですが、サーバー上ですべてを実行できたため、最終ステップ(アカウントを必要とするWin8,1Entワークステーションでの操作)はそれほどうまくいきませんでした。基本的に、必要なコマンドInstall-ADServiceAccountは見つからないため、エラーをスローします。

PS C:\Users\René Kåbis.DOMAIN> Install-ADServiceAccount Services
Install-ADServiceAccount : The term 'Install-ADServiceAccount' is not recognized as the name of a cmdlet, function,
script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is
correct and try again.
At line:1 char:1
+ Install-ADServiceAccount Services
+ ~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (Install-ADServiceAccount:String) [], CommandNotFoundException
    + FullyQualifiedErrorId : CommandNotFoundException

そのため、私はその方法を放棄し、標準の管理アカウントに目を向けることを余儀なくされました。ああ、ハッキングされる可能性のあるアカウントの喜びの歓喜!

問題は、それらも機能しないことです。まあ、彼らはそうします、ただ私が彼らを必要とする方法ではありません。

別の名前で管理アカウントを作成しました(既存のサービスアカウントとこの新しい管理アカウントの間に衝突があった場合に備えて)。ワークステーションに移動し、制限されたユーザー名でログインし、prima-donnaアプリケーションをダブルクリックすると、標準の「このプログラムには管理者アクセスが必要です」yaddah、yaddah、yaddahが表示されます。表示されたログインボックスに、新しい管理者アカウントの資格情報を入力してログインできます。これまでのところ、これは問題ありませんが、これらの資格情報を知っている人は誰でもそれらを使用して任意のマシンへの管理者アクセスを取得できるため、これは安全ではありません。

runasを試してみます。さて、私は次の文字列を使用します:

C:\Program Files (x86)\Microsoft Retail Management System\Store Operations>runas
 /user:rms@domain /savecred SOMANAGER.exe
Attempting to start SOMANAGER.exe as user "rms@domain" ...
Enter the password for rms@domain:
Attempting to start SOMANAGER.exe as user "rms@domain" ...
RUNAS ERROR: Unable to run - SOMANAGER.exe
1783: The stub received bad data.

うーん…大丈夫。しかし、rundll32.exe keymgr.dll, KRShowKeyMgrをチェックすると、マシン内に存在する資格情報が示されます。だからもう一度やり直します

C:\Program Files (x86)\Microsoft Retail Management System\Store Operations>runas
 /user:rms@domain /savecred SOMANAGER.exe
Attempting to start SOMANAGER.exe as user "rms@domain" ...
RUNAS ERROR: Unable to run - SOMANAGER.exe
740: The requested operation requires elevation.

ウィスキー。タンゴ。フォックストロット。

私が使用しているアカウントには、プログラムを昇格させる機能があります。プログラムを正常に開き、表示されたログインボックスにまったく同じ資格情報を入力することで証明しました。では、なぜこれが起こっているのでしょうか?

2
René Kåbis

限られたユーザードメインアカウントでMicrosoft Dynamics Retail Management Systemを正しく機能させるために私が発見した唯一の方法は、一方向と一方向のみです: ACのターン。

ユーザーアクセス制御は素晴らしいアイデアであり、Vista以降のWindowsエコシステム内のセキュリティが劇的に向上したと確信しています。残念ながら、Dynamics RMSは2007年より前に作成されたCOM/DCOMベースのソフトウェアのようです。そのため、UACが完全にオフになっている場合にのみ、非管理ドメインベースのアカウントで正しく機能します。

付与された、ドメインベースではないアカウントはまったく別のものです。スタンドアロンコンピュータを使用している場合、RUNASにDynamics RMSを適切に起動させることは、公園を散歩することです。ドメインベースのシステムでは、システム管理者の最悪の恐怖の悪夢です。

RMSを稼働させるためにいくつかのことをしましたが、努力中に燃え上がった荒々しく羊毛のような道では、何が効果的で何が何もしなかったのか正確にはわかりません。したがって、デフォルト設定に「巻き戻し」しなかったもののリストを次に示します(何も生産的でないことが確認されたら、設定を巻き戻すように常に注意しましたが、それは問題です。よくわかりません)。

  • プログラムの実行可能ファイルのプロパティに移動し、「すべてのユーザー」(ドメイン環境の場合は下部にある追加のボタン)の互換性をWindows XP SP3に設定し、管理者として起動するように設定します。
  • 各プログラム実行可能ファイルのマニフェストファイル(はい、マニフェストファイルがあります)に移動し、管理実行レベルを要求するXML宣言をコメントアウトします。
  • ドメインのグループポリシーに移動し、以下を変更します:
    • ユーザーアカウント制御:管理者承認モードの管理者に対する昇格時のプロンプトの動作-プロンプトなしで昇格する
    • ユーザーアカウント制御:アプリケーションのインストールを検出し、昇格を要求する-無効
    • ユーザーアカウント制御:安全な場所にインストールされているUIAccessアプリケーションのみを昇格する-無効
    • ユーザーアカウント制御:すべての管理者を管理者承認モードで実行-無効

これらの設定が完全​​にセットアップされると(そしてコンピューターが再起動され、コンピューターGPOが有効になる可能性があります)RMSは、実行可能ファイル自体から開始できました。ドメイン内の確認済みの制限付きユーザーアカウントからでも、あらゆる種類のログイン資格情報を要求します。

誰かが私の足跡をたどる場合は、最初にこれを試さないでくださいしないでください。 UACがオフにならないように、できる限りのことをしてください。 UACは確かにWindowsセキュリティの非常に重要な部分であり、私がそれを無効にしたのは、最も重い心でのみです。私がこれを行っているのは、私が比較的古いプログラムを扱っているからです(現在の同等のものはありません-完全に新しく再構築されたバリエーションが2014年のいつか期待されています)。

1
René Kåbis

Active DirectoryPowerShellモジュールをインストールするには:

サーバーにリモートサーバー管理ツール機能をインストールします。

クライアントでは、rsatインストーラーをダウンロードした後、rsatツールをインストールします。

次に、「import-moduleactivedirectory」を実行します。

これにより、Active Directoryのコマンドレットを使用できるようになります。

参照リンク: http://technet.Microsoft.com/en-us/magazine/gg413289.aspx

ただし、唯一の目標がサービスアカウントである場合は、少し扱いに​​くいプロセスであり、残りをクリーンアップする必要があります。


[解説の新しいエラーメッセージに基づいて編集]現時点では2012ドメインにアクセスできないので、推測してよく見るだけです。ガイドのコマンドは、おそらく昇格されたpsコンソールでドメイン管理者アカウントを使用して実行されているようです。使用しているアカウントに対応するレベルのアクセス権がありますか?

また、「gMSAの使用は、セキュリティ記述子msDS-GroupMSAMembershipで指定されたコンピューターのみに制限されています」という要件を満たしていますか?

最後に、あなたがフォローしているガイドは、大部分がコピー/貼り付けされていますが、Microsoftの元のブログ投稿のかなりスリム化されたコピーでもあるようです。あまり精査せずに、オリジナルではるかに完全な手順を見つけることをお勧めします: http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012 -group-managed-service-accounts.aspx

3
ErikE