Una forma de difundir las credenciales de los usuarios sin agregarlas manualmente a cada computadora

0

Supongamos que tiene una unidad de red compartida, requiere autenticación de usuario y contraseña para acceder a su contenido.

El usuario y la contraseña se pueden agregar a una sola PC, a través del comando net use o el Administrador de credenciales de Windows y se le otorga acceso a la unidad.

Todas las computadoras y el disco están en la misma red y todos pueden acceder siempre que tengan las credenciales.

También he intentado crear copias de mis propias credenciales de Windows, ya que una copia se puede restaurar en otra PC, pero aún debe hacerse manualmente, necesito encontrar una manera de hacerlo automáticamente.

¿Cómo puede difundir esas credenciales para decir 100 PC, sin tener que agregarlas una por una?

¿Es posible usar el uso neto en dispositivos específicos ya que conocemos sus IP?

La mayoría de las computadoras están en un dominio. Se creó un solo usuario con permisos específicos otorgados y se espera que todas las computadoras usen sus credenciales para trabajar con el recurso.

windows-7 networking windows-10 network-shares credentials usuario1676874
fuente
1) ¿Están las computadoras en un dominio? 2) Dada la grave falta de seguridad que implica este enfoque, ¿hay alguna razón específica por la que no otorgue a la Everyoneidentidad acceso al recurso compartido?
Twisty Impersonator
Los usuarios deben estar en la lista de usuarios autenticados en la unidad / carpeta compartida para obtener acceso sin ingresar credenciales. Haga clic derecho en la unidad / carpeta que desea compartir, pestaña de seguridad / pestaña para compartir y agregue el usuario a la lista de permisos. La próxima vez que lo hagan, ¿no tendrán que ingresar sus credenciales?
Narzard
@Twisty Impersonator: la mayoría de las computadoras están en un dominio. Se creó un solo usuario, con permisos específicos otorgados, y se espera que todas las computadoras usen sus credenciales para trabajar con el recurso. ¿Estás diciendo que quizás debería permitir a todos en su lugar?
user1676874
@Narzard: Todavía no he intentado agregar usuarios manualmente al recurso compartido, ¿esto permitirá el acceso a todos los que necesiten acceder sin tener que hacer nada en cada computadora?
user1676874
@ user1676874 Me alegro de que estén en un dominio. Esto se hace fácilmente en un dominio. Debe crear un grupo de seguridad, conceder que el acceso al recurso, a continuación, hacer que todos los usuarios que necesitan acceso a los miembros de ese grupo. Esa es la forma correcta de hacer lo que estás intentando.
Twisty Impersonator

Respuestas:

0

Las credenciales compartidas son inseguras y difíciles de administrar

Como ha descubierto, otorgar de forma segura el acceso de múltiples usuarios a un recurso utilizando una sola cuenta de usuario es problemático. Explico al final de esta respuesta qué hace que esto sea difícil y por qué debe evitarse.

Pero primero, la forma correcta de otorgar acceso a un recurso es mediante el uso de cuentas de usuario individuales para cada usuario que necesita acceso. La forma en que lo haga será diferente para las máquinas que forman parte del dominio del host de recursos de destino y las que no lo son.

Miembros del mismo dominio

Para los usuarios que acceden al recurso desde máquinas que están en el mismo dominio que la computadora que aloja el recurso, simplemente debe otorgar acceso a las cuentas de usuario de AD existentes que necesitan acceso. El método de mejores prácticas es el siguiente:

  1. Crea un grupo de seguridad de dominio.
  2. Otorgue al grupo acceso al recurso de destino.
  3. Convierta cada objeto de usuario de AD que necesita acceso al recurso en un miembro del grupo de seguridad.

Miembros que no son de dominio

Para los usuarios que necesitan acceso al recurso pero desde máquinas que no están en el dominio del recurso, el método de mejor práctica sigue siendo otorgar acceso a cuentas de usuario individuales de la siguiente manera:

  1. Cree cuentas de usuario de Active Directory con los mismos nombres de usuario y contraseñas utilizados para iniciar sesión en las computadoras que no son de dominio que requieren acceso al recurso.

    Si por alguna razón no tiene acceso a las contraseñas de los usuarios, entonces puede:

    a. Cree cuentas de usuario de AD para cada usuario que no sea de dominio y asigne una contraseña de su elección. En este caso, debe especificar nombres de usuario que sean diferentes a los utilizados en la computadora que no sea de dominio; de lo contrario, el nombre de usuario coincidirá pero la contraseña no, bloqueando el inicio de sesión exitoso. (Privilegiado.)

    segundo. Cree un único objeto de usuario de AD que será compartido por todos los usuarios que no sean de dominio. (No preferido, ver más abajo).

  2. Convierta a los nuevos usuarios de AD en objeto (s) miembros del grupo que creó en el paso 1 en la sección anterior.

¿Por qué evitar un único objeto de usuario al otorgar acceso a múltiples usuarios?

Como puede ver, el enfoque de mejores prácticas evita el uso de un único nombre de usuario y contraseña para otorgar acceso al recurso. Hay varias razones para esto:

  • Las cuentas compartidas son inflexibles para cambiar los requisitos de acceso. Cuando llega el momento de revocar el acceso de un usuario, una cuenta compartida es implacable. Debe cambiar la contraseña de la cuenta, lo que requiere cambiarla en todos los dispositivos que aún requieren acceso, lo que lleva a ...

  • Las contraseñas compartidas requieren mucho trabajo para cambiar. Asumimos que está utilizando la contraseña para mantener a ciertos usuarios fuera, lo que hace inevitable un cambio de contraseña. Pero en lugar de cambiar la contraseña en un dispositivo, debe cambiarla en muchos dispositivos, la mayoría de los cuales a menudo se administran de manera no centralizada. Para empeorar las cosas, hasta que se implemente la nueva contraseña, los dispositivos que usan la contraseña anterior no pueden acceder al recurso.

  • Las cuentas compartidas no identifican usuarios autorizados. En ninguna parte del sistema tendrá visibilidad de quién tiene acceso a través de la cuenta compartida. Usted (y cualquier otra persona que gestione el entorno) deberá mantener una lista separada. Y a diferencia de cuando se otorga autorización directamente a los objetos de usuario, no hay garantía de que la lista externa sea precisa. Además, cuando se supervisa el acceso al recurso en tiempo real, una cuenta compartida no revela quién está realmente utilizando el recurso.

  • Las cuentas compartidas están más expuestas a compromisos. Son utilizados por más personas de más lugares en más sistemas, cada uno representando un posible punto de compromiso. Consulte el número 1 para ver la dificultad que implica solucionar esto con un cambio de contraseña.

Distribución masiva de una única credencial de inicio de sesión

Quizás descubra que aún debe emplear un nombre de usuario y contraseña compartidos para otorgar acceso al recurso. Si se encuentra en este caso, la mala noticia es que no hay forma de distribuirlo convenientemente de manera automatizada que mantenga una apariencia de seguridad.

El principal problema para la automatización es el hecho de que es necesario usar / guardar la credencial compartida en el contexto de inicio de sesión del usuario que accede al recurso . Esto descarta cualquier proceso de automatización remota (a menos que conozca la contraseña de cada usuario, en cuyo caso no necesita usar una credencial compartida).

Todo lo que queda es acceder a las computadoras una por una mientras el usuario está presente para que puedan iniciar sesión mientras almacena la credencial compartida, o para proporcionar la credencial directamente a los usuarios para que puedan ingresarla ellos mismos.

Imitador Twisty
fuente