Блог

Написано приложение, которое удаленно получает информацию о конкретном компьютере, использующем WMI. В настоящее время я должен выполнять авторизацию на каждом компьютере, используя одну из локальных учетных записей компьютера. Что я хотел бы и что я пытаюсь сделать, так это иметь возможность авторизации с использованием учетной записи домена (одной из учетных записей на компьютере AD domain controller).

Прямо сейчас я могу выполнять авторизацию на компьютерах домена только с локальными учетными записями, за исключением контроллера домена. Я могу войти в AD DC, используя учетные записи домена, используя протокол NTLM. Таким образом, часть, которая не работает, заключается в входе в систему на компьютерах домена, отличных от DC, с использованием учетных записей домена.

Это проблема с кодом или проблема с настройками AD, например, мне нужно указать компьютерам домена всегда проверять с помощью DC при авторизации пользователя или что-то в этом роде?

Я использую класс System.Managementnt.ManagementScope в C #, чтобы быстро справиться со всем этим. Любая помощь была бы высоко оценена.

Я совсем новичок, когда дело доходит до AD и доменов.

РЕДАКТИРОВАТЬ: Решена.

Используемой учетной записи Active Directory необходимо предоставить разрешение, называемое «Доверенное для делегирования», чтобы работать на компьютерах, отличных от контроллеров домена. Это право чрезвычайно мощное, эффективно позволяя вашей учетной записи представляться как любая другая учетная запись в домене.

Альтернативой является передача явных разрешений процессу. Однако имейте в виду, что при подключении к другому компьютеру через WMI процесс, созданный на удаленном компьютере, не сможет проходить аутентификацию на других компьютерах в домене; это считается делегированием третьей стороной. Существует обходной путь для этого ограничения, созданный Фрэнком Уайтом (на SO).