我意识到这可能不是安全方面的最佳实践。但这是一个非常具体的场景,我的部门已经决定这是最好的行动方案。
我的部门目前负责维护一些我们允许标准用户与 GUI 应用程序交互的机器。此应用程序通常不需要提升权限才能运行,但经常需要更新才能运行,并且更新应用程序确实需要提升权限。
几个月来我们一直在与这个问题作斗争,要求管理员过来输入他们的凭据以允许更新是不可持续的,我们也没有人力手动运行更新,因为该程序需要很长时间才能启动和更新必须从应用程序内启动。
我们尝试使用计划任务以提升的权限启动应用程序,但 schtasks 启动应用程序时没有 GUI,这会阻止用户从应用程序内启动更新。
经过多次会议,我们决定使用 /savecred 将本地管理员登录信息存储在批处理文件中,以提升权限启动应用程序并将批处理文件转换为 EXE 以防止用户编辑快捷方式。
我们遇到的问题是必须通过每个标准用户输入一次管理员密码来保存凭据,这是不可行的,因为我们有很多用户来来往往,这最终会花费更多时间而不是根据要求输入密码.
我再次意识到这是一个不完美且有些不安全的解决方案,但我们认为它是解决独特问题的最佳解决方案。
TL;DR:如何强制保存在 Windows 凭据管理器中的凭据跨多个用户帐户进行镜像,而无需为每个帐户输入密码?