Używaj run z kontem domeny na maszynie innej niż domena w Windows 2k / XP / Vista / 7

19

Mój komputer z systemem Windows 7 znajduje się w sieci LAN w intranecie z domeną Windows, ale nie jest członkiem tej domeny. Muszę jednak uruchomić niektóre aplikacje na kontach domeny, gdy jestem zalogowany lokalnie jako administrator lokalny.

Wiem, że możesz użyć tego runasnarzędzia do uruchomienia procesów na kontach innych niż to, na którym się zalogowałeś. Chodzi o to, że Windows musi znać lub uwierzytelniać konto, na którym rozpoczyna się proces.

Kiedy robię coś takiego:

runas /user:DOMAIN\USERNAME cmd.exe

(i następnie podaj poprawne hasło) Występuje taki rodzaj błędu:

RUNAS ERROR: Unable to run - cmd.exe
1326: Logon failure: unknown user name or bad password.

Czy ktoś wie, jak sobie z tym poradzić?

windows domain runas Pavel
źródło

Odpowiedzi:

35

runasKomenda ma dodatkową opcję /netonly, która umożliwia lokalne aplikacje uruchomione jako użytkownik domeny, na maszynie non-domeny. To działało dla mnie, gdy działałem na Windows 7 Professional - ale wymaga podwyższonego wiersza polecenia.

runas /netonly /user:domain\user command

Więcej informacji na poniższej stronie:

http://codebetter.com/jameskovacs/2009/10/12/tip-how-to-run-programs-as-a-domain-user-from-a-non-domain-computer/

Mikrofon
źródło
3
Dodanie /netonlypracował dla mnie, gdzie moja maszyna jest w domenie, ale różni się od domeny użytkownika potrzebowałem personifikować.
To działało dla mnie, chociaż nie sądziłem, że to się stanie, ponieważ nadal nazwa użytkownika zalogowanego w oknie połączenia była wyszarzona. Ale po podłączeniu uruchamiam zapytanie „wybierz SYSTEM_USER” i było poprawne.
JumpingJezza
1

O ile nie rozumiem twojego pytania, próbujesz użyć poświadczeń domeny do zalogowania się na komputerze, który nie jest członkiem tej domeny. Tego nie da się zrobić. Konta domeny logują się tylko na komputerach domeny. Konta lokalne logują się tylko na komputerze lokalnym (z wyjątkami).

Kara Marfia
źródło
Ok, dziękuję za wyczerpującą i jasną odpowiedź. Wydaje mi się to jednak dziwne: mojej maszyny nie ma w domenie. Jednak: jeśli chcę korzystać z zasobów domeny, takich jak foldery udostępnione / drukarki, po prostu wydaję użycie sieci \\ serwer \ zasób / użytkownik: domena \ użytkownik_użytkownika i podaj hasło do mojej domeny i mogę się do nich dostać. Dlaczego nie mogę również używać Run?
Pavel
Gdy dołączasz komputer do domeny, tworzy on wyższy poziom zaufania między komputerem a domeną w porównaniu z zasobami współdzielonymi. Umożliwienie użytkownikowi połączenia się z drukarką lub udziałem plików jest o wiele bezpieczniejsze (z perspektywy administratora) niż dołączenie nieznanej maszyny do domeny. Krótka odpowiedź brzmi: to wszystko dla bezpieczeństwa. Mam nadzieję, że to pomaga.
Kara Marfia,
1
Innymi słowy: w przypadku udostępnionych elementów zdalnych komputer niebędący domeną nie ufa domenie. To tylko przekazywanie poświadczeń, aby uzyskać dostęp do zdalnych zasobów. Zezwolenie użytkownikowi na uruchamianie programów jest zupełnie inną rzeczą, szczególnie gdy (ponieważ nie wie nic o / nie ufa domenie) komputer niebędący domeną nie wie nawet na pewno, że użytkownik istnieje, nie mówiąc już o tym, że powinien być wolno uruchamiać programy.
Slartibartfast
1
Kara - Myślę, że źle zrozumiałeś pytanie. Pyta, jak zalogować się na komputerze, który jest częścią domeny z poświadczeniami dla tej domeny, ale z komputera, który nie jest przyłączony do domeny. Runas jest odpowiedzią, której szuka.
MegaMatt,
-1

Zawsze używam Run w środowisku AD, ponieważ:

runas / env / profile / user: domain \ useraccnt cmd

Spróbuj, to zawsze działa dla mnie!

r0ca
źródło
1
Dzięki, r0ca. Chodzi o to, że mój komputer nie znajduje się w domenie, której używam w poleceniu „runas”. Właściwie to wcale nie jest domena. Skorzystałem z innej porady tutaj: serverfault.com/questions/88208/… ksetup / setrealm YOURDOMAIN.TLD ksetup / addkdc YOURDOMAIN.TLD yourkdc.yourdomain.tld ksetup / setmachpassword hasło-z-powyżej ksetup / maper yourdomainacomount. TLD twoje konto lokalne Teraz dostaję to: 1787: Baza danych bezpieczeństwa na serwerze nie ma konta komputerowego dla relacji zaufania stacji roboczej.
Pavel
Nie będzie można wykonać tej operacji, dopóki komputer nie będzie wymieniony w domenie. Powinieneś wtedy RDP na komputerze;)
r0ca
Ale +1 dla linii powyżej, ciekawe!
r0ca