Use runas com uma conta de domínio em uma máquina que não seja de domínio no Windows 2k / XP / Vista / 7

19

Meu computador com Windows 7 está na LAN em uma intranet com um domínio do Windows, mas não é membro desse domínio. No entanto, preciso executar alguns aplicativos em contas de domínio enquanto estiver conectado localmente como administrador local.

Eu sei que você pode usar o runasutilitário para iniciar processos em contas diferentes daquela em que você fez logon. O problema é que o Windows precisa conhecer ou autenticar a conta na qual um processo está sendo iniciado.

Quando faço algo como:

runas /user:DOMAIN\USERNAME cmd.exe

(e digite a senha correta posteriormente) Eu recebo esse tipo de erro:

RUNAS ERROR: Unable to run - cmd.exe
1326: Logon failure: unknown user name or bad password.

Alguém sabe como lidar com isso?

windows domain runas

— Pavel
fonte

35

O runascomando possui uma opção extra /netonlyque permite executar aplicativos locais como um usuário do domínio, em uma máquina que não seja do domínio. Funcionou para mim quando eu executei o Windows 7 Professional - mas requer um prompt de comando elevado.

runas /netonly /user:domain\user command

Mais detalhes no site abaixo:

http://codebetter.com/jameskovacs/2009/10/12/tip-how-to-run-programs-as-a-domain-user-from-a-non-domain-computer/

— Mike
fonte

3

A adição /netonlyfuncionou para mim onde minha máquina está em um domínio, mas um domínio diferente daquele do usuário que eu precisava representar.

Isso funcionou para mim, embora eu não achasse que iria funcionar, pois ainda tinha o nome de usuário conectado na janela de conexão acinzentado. Mas, depois de conectar, executei a consulta "selecione SYSTEM_USER" e estava correta.

— usar o seguinte

1

A menos que eu esteja entendendo mal sua pergunta, você está tentando usar credenciais de domínio para fazer logon em uma máquina que não é membro desse domínio. Isso não pode ser feito. As contas de domínio fazem logon apenas nos computadores do domínio. Contas locais fazem logon apenas na máquina local (com exceções).

— Kara Marfia
fonte

Ok, obrigado por sua resposta abrangente e clara. No entanto, isso me parece estranho: minha máquina não está no domínio. No entanto: se eu quiser usar os recursos do domínio, como pastas / impressoras compartilhadas, emito simplesmente net use \\ server \ resource / user: domain \ domainuser e forneço minha senha de domínio e posso obtê-los. Por que não posso usar runas da mesma forma?

— Pavel

Quando você ingressa uma máquina no domínio, ele cria um nível mais alto de confiança entre máquina e domínio x recursos compartilhados. Permitir que um usuário se conecte a uma impressora ou compartilhamento de arquivos é muito mais seguro (do ponto de vista do administrador) do que ingressar uma máquina desconhecida no domínio. A resposta curta é que é tudo por segurança. Espero que ajude.

— Kara Marfia

1

Em outras palavras, para os itens remotos compartilhados, o computador que não é do domínio não confia no domínio. É apenas passar as credenciais para obter acesso a recursos remotos. Permitir que um usuário execute programas é uma coisa totalmente diferente, principalmente quando (já que ele não sabe nada sobre / confia no domínio) o computador que não faz parte do domínio nem sabe ao certo se o usuário existe, muito menos que deveria ser. permissão para executar programas.

— Slartibartfast

1

Kara - Eu acho que você não entendeu a pergunta. Ele está perguntando como fazer logon em um computador que faz parte de um domínio com credenciais para esse domínio, mas de um computador que não está associado ao domínio. Runas é a resposta que ele está procurando.

— MegaMatt

-1

Eu sempre uso Runas no meu ambiente de AD como este:

runas / env / profile / user: domain \ useraccnt cmd

Experimente, sempre funciona para mim!

— r0ca
fonte

1

Obrigado, r0ca. O problema é que meu computador não está no domínio que uso no comando "runas". Na verdade, não é nenhum domínio. Usei outro conselho aqui: serverfault.com/questions/88208/… ksetup / setrealm YOURDOMAIN.TLD ksetup / addkdc YOURDOMAIN.TLD yourkdc.seudominio.tld ksetup / setmachpassword a senha-acima-ksetup / mapuser yourdomainaccount @ YOURDOMAIN. TLD yourlocalaccount Agora, recebo o seguinte: 1787: O banco de dados de segurança no servidor não possui uma conta de computador para esta relação de confiança da estação de trabalho.

— Pavel

Você não poderá executar esta operação enquanto o computador não estiver listado no domínio. Você deve RDP em um PC, em seguida,;)

— r0ca

Mas +1 para a linha acima, interessante!

— R0ca