Verwenden Sie Runas mit einem Domänenkonto auf einem Nicht-Domänencomputer in Windows 2k / XP / Vista / 7

19

Mein Windows 7-Computer befindet sich im LAN in einem Intranet mit einer Windows-Domäne, ist jedoch kein Mitglied dieser Domäne. Ich muss jedoch einige Anwendungen unter Domänenkonten ausführen, während ich lokal als lokaler Administrator angemeldet bin.

Ich weiß, dass Sie das runasDienstprogramm verwenden können, um Prozesse unter Konten zu starten, die sich von denen unterscheiden, unter denen Sie sich angemeldet haben. Die Sache ist, dass Windows das Konto kennen oder authentifizieren muss, unter dem ein Prozess gestartet wird.

Wenn ich etwas mache wie:

runas /user:DOMAIN\USERNAME cmd.exe

(und geben Sie anschließend ein korrektes Passwort ein) Ich erhalte folgende Fehlermeldung:

RUNAS ERROR: Unable to run - cmd.exe
1326: Logon failure: unknown user name or bad password.

Weiß jemand, wie man damit umgeht?

Pavel
quelle

Antworten:

35

Der runasBefehl verfügt über eine zusätzliche Option /netonly, mit der lokale Apps als Domänenbenutzer auf einem Nicht-Domänencomputer ausgeführt werden können. Es funktionierte für mich, als ich unter Windows 7 Professional lief - aber es erfordert eine Eingabeaufforderung mit erhöhten Rechten.

runas /netonly /user:domain\user command

Weitere Details finden Sie auf der folgenden Seite:

http://codebetter.com/jameskovacs/2009/10/12/tip-how-to-run-programs-as-a-domain-user-from-a-non-domain-computer/

Mike
quelle
3
Das Hinzufügen von /netonlyfunktionierte für mich, wenn sich mein Computer in einer Domäne befindet, aber eine andere Domäne als der Benutzer, dessen Identität ich annehmen musste.
Dies funktionierte für mich, obwohl ich nicht glaubte, dass es funktionieren würde, da der angemeldete Benutzername im Verbindungsfenster immer noch ausgegraut war. Aber nach dem Verbinden starte ich die Abfrage "select SYSTEM_USER" und es war korrekt.
JumpingJezza
1

Sofern ich Ihre Frage nicht falsch verstehe, versuchen Sie, Domänenanmeldeinformationen zu verwenden, um sich auf einem Computer anzumelden, der kein Mitglied dieser Domäne ist. Das geht nicht. Domänenkonten melden sich nur auf Domänencomputern an. Lokale Konten melden sich nur auf dem lokalen Computer an (mit Ausnahmen).

Kara Marfia
quelle
Ok, danke für deine umfassende und klare Antwort. Das klingt für mich jedoch merkwürdig: Mein Computer befindet sich nicht in der Domäne. Allerdings: Wenn ich die Ressourcen der Domäne verwenden möchte, wie z. B. freigegebene Ordner / Drucker, kann ich einfach das Problem net use \\ Server \ Ressource / Benutzer: Domäne \ Domänenbenutzer lösen und mein Domänenkennwort angeben. Warum kann ich Runas nicht gleichermaßen verwenden?
Pavel
Wenn Sie einen Computer der Domäne hinzufügen, wird eine höhere Vertrauensebene zwischen Computer und Domäne im Vergleich zu freigegebenen Ressourcen erstellt. Das Zulassen, dass ein Benutzer eine Verbindung zu einem Drucker oder einer Dateifreigabe herstellt, ist (aus Sicht des Administrators) viel sicherer als das Hinzufügen eines unbekannten Computers zur Domäne. Die kurze Antwort lautet: Alles dient der Sicherheit. Hoffentlich hilft das.
Kara Marfia
1
Anders ausgedrückt: Bei freigegebenen Remoteobjekten vertraut der Nicht-Domänencomputer der Domäne nicht. Es werden lediglich die Anmeldeinformationen weitergegeben, um Zugriff auf Remote-Ressourcen zu erhalten. Einem Benutzer das Ausführen von Programmen zu gestatten, ist etwas völlig anderes, insbesondere dann, wenn (da er nichts über die Domäne weiß / dieser vertraut) der Nicht-Domänen-Computer nicht einmal genau weiß, ob der Benutzer existiert, geschweige denn, dass dies der Fall sein sollte darf Programme ausführen.
Slartibartfast
1
Kara: Ich glaube, Sie haben die Frage falsch verstanden. Er fragt, wie er sich an einem Computer anmelden soll, der Teil einer Domäne mit Anmeldeinformationen für diese Domäne ist, jedoch von einem Computer, der nicht der Domäne angehört. Runas ist die Antwort, die er sucht.
MegaMatt
-1

Ich verwende Runas in meiner AD-Umgebung immer wie folgt:

runas / env / profile / user: domain \ useraccnt cmd

Probieren Sie es aus, es funktioniert immer für mich!

r0ca
quelle
1
Danke, r0ca. Die Sache ist, dass mein Computer nicht in der Domäne ist, die ich im Befehl "runas" verwende. Eigentlich ist es gar keine Domain. Ich habe von hier aus einen anderen Ratschlag verwendet: serverfault.com/questions/88208/… ksetup / setrealm YOURDOMAIN.TLD ksetup / addkdc YOURDOMAIN.TLD yourkdc.yourdomain.tld ksetup / setmachpassword das-Passwort-von-oben ksetup / mapuser yourdomainaccount @ YOURDOMAIN. TLD yourlocalaccount Jetzt erhalte ich Folgendes: 1787: Die Sicherheitsdatenbank auf dem Server verfügt nicht über ein Computerkonto für diese Workstation-Vertrauensstellung.
Pavel
Sie können diesen Vorgang nicht ausführen, solange der Computer nicht in der Domäne aufgeführt ist. Sie sollten dann RDP auf einem PC;)
r0ca
Aber +1 für die obige Zeile, interessant!
r0ca