以另一个用户身份运行 ADUC (RUNAS)

您是否正在寻找一种以不同用户身份运行 Active Directory 用户和计算机的方法？

那么您就来对地方了。

系统管理员的最佳做法是至少拥有两个帐户，一个具有常规权限，另一个具有执行管理任务的提升权限。

这将提高安全性并降低恶意攻击（例如 RansomWare）的风险。

使用常规帐户登录将要求您以其他用户身份启动某些程序，例如 Active Directory 用户和计算机。

在本教程中，我将向您展示以不同用户身份运行程序的两种不同方法。

方法一：使用RUNAS

在 Windows 2000 中，Microsoft 引入了 runas 命令。此命令旨在允许用户使用不同的帐户运行特定程序。

要使用 runas 命令，您只需要知道程序的路径即可。

以下是以不同用户身份运行 Active Directory 用户和计算机的命令。

runas /netonly /user:username@domain "mmc %SystemRoot%\system32\dsa.msc"

注意：更改您的用户名和域名

它将提示输入密码

如果出现以下错误，则表示您启用了 UAC。要解决此问题，您需要右键单击 CMD 并以管理员身份运行。

现在您可能会想，每次运行 ADUC 时都键入该命令会很痛苦。

轻松修复。

我可以将命令放入文本文件并将其另存为 .bat 文件（批处理文件）。

将 .bat 文件保存在某个位置以便快速访问，然后只需单击一下即可启动 ADUC。

我把我的保存到桌面了

您可以将此方法用于其他管理控制台

组策略

runas /netonly /user:username@domain "mmc %SystemRoot%\system32\gpmc.msc"

DNS管理

runas /netonly /user:username@domain "mmc %SystemRoot%\system32\dnsmgmt.msc"

动态主机配置协议

runas /netonly /user:username@domain "mmc %SystemRoot%\system32\dhcpmgmt.msc"

AD 域和信任

runas /netonly /user:username@domain "mmc %SystemRoot%\system32\domain.msc"

您明白了，只需找到路径并将其插入即可。

方法2：创建快捷方式

此方法与第一种方法非常相似，我们只是跳过了打开命令提示符的需要。

基本上，它是使用 run as 命令创建程序的快捷方式。

右键单击桌面或任何要创建快捷方式的位置。

快捷方式与方法一相同，只需输入 runas.exe 的路径即可。

点击下一步

提供快捷方式和名称，然后单击“完成”

这就是方法二。

如果您不喜欢这两种方法中的任何一种，还有第三种选择，那就是设置安全的管理工作站或终端服务器。

安全管理工作站是旨在执行管理任务的有限使用系统。管理工作站应被锁定，不能访问互联网，并且仅安装必要的工具以减少攻击足迹。

微软有一些关于这方面的好文档，它们很深入。如果您认真对待安全性，我建议您阅读它们。

通过安全的管理工作站保护高价值资产

特权访问工作站

首先，这是我的建议以及我在我的环境中所做的事情。

• 设置终端服务器
• 仅安装所需的管理工具（RSAT 工具、putty、访问 Web 控制台）
• 终端服务器无法访问互联网
• 限制某些系统只能通过管理工作站的 IP 地址访问
• 连接到管理工作站时实施两因素身份验证

现在，当我的团队需要执行管理任务时，他们必须连接到管理工作站。根据您的帐户设置方式，这会减少攻击者可以执行的操作，即使他们危害了特权帐户。他们必须获得对管理工作站的访问权限并绕过两因素身份验证。

没有什么是万无一失的，但这是最小化风险的简单方法。