Windows 용 SU에 해당하는 것이 있습니까?


32

권한이없는 사용자로 가장하는 방법 (관리자 또는 관리자 그룹의 구성원으로 로그인 한 경우)이 있습니까? 특히 AD 환경에서.

예를 들어 유닉스 세계에서 나는 루트로 다음을 수행 할 수 있습니다.

# whoami
root
# su johnsmith
johnsmith> whoami
johnsmith
johnsmith> exit
# exit

사용자 계정에서 무언가를 테스트 / 구성해야하며 비밀번호를 알고 있거나 재설정하지 않아도됩니다.

편집 :
runas 잘라 내지 않습니다. 이상적으로 는 내 전체 데스크톱이 cmd 창뿐만 아니라 사용자 등이 될 것입니다.


궁금한 점이 있지만 왜 사용자로 로그인해야합니까? 전자 메일을 구성하려면 일반적으로이 작업 만 수행하면됩니다. 그러나 대부분의 경우 그룹 정책 / 스크립트 등을 통해 모든 것을 구성 할 수 있다는 것을 알게되었습니다.
데이턴 브라운

답변:


20

해당 사용자의 자격 증명없이 다른 사용자로 실행할 수있는 지원되는 방법이 없다고 확신합니다. 부인 방지 조치입니다. "내가하지 않았다"는 말을 할 수 없습니다. 왜냐하면 그들은 그렇게했거나 자격 증명을 가진 누군가가 그렇게했기 때문입니다. 그리고 두 번째로 그들은 다른 사람에게 자격 증명을 제공해야했습니다.

일반적으로 다른 사용자로 로그인 한 상태에서 필요한 작업을 수행하는 방법은 원격 지원을 사용하여 본질적으로 세션에 RDP를 사용하여 제어 권한을 부여하는 것입니다. 그런 다음 그들이보고있는 동안 무엇이든합니다 (어쩌면 어쨌든).

다른 모든 것은 일반적으로 GPO / 스크립트로 수행 할 수 있습니다.


8
나는 이것이 맞다고 믿는다. 그리고 IMHO는 이것이 UNIX 세계 의 보안 향상 입니다. 비밀번호를 입력하지 않아도 관리자도 나를 할 수 없다는 생각이 마음에 듭니다.
tomjedrz 2016 년

3
관리자는 비밀번호를 재설정하여 다른 사용자를 대신 할 수 있습니다. 그러면 그들은 당신으로 로그인 할 수 있습니다. 그러나 이렇게하면 증거 흔적이 있습니다. 먼저, 사용자 비밀번호가 변경되어 알 수 있습니다. 둘째, 감사 로그가 있습니다 (감사를 사용한다고 가정).
Erik Funkenbusch

3
이것은 일반적으로 내가 운영하는 방법입니다. 그러나 "내가 밥이라면 밥에게 이렇게하는 것이 훨씬 쉬울 것"이라고 말하지만 밥은 한 시간 전에 집에 갔다.
BIBD 2016 년

1
"부인 방지"가 진행되는 한, 암호를 먼저 재설정한다고해서 다른 사용자로 악의적 / 멍청한 행동을 저지르는 것을 막을 수는 없습니다. 그것은 단지 누가 책임을 졌는지 더 많은 일을해야한다는 것을 의미합니다.
BIBD 2016 년

9
나는 그들이 무엇을하려고하는지 이해합니다. 나는 단지 실제 보안보다 보안 극장이라고 생각합니다.
BIBD

17

본인은 runas 명령에 변화를 언급하는 사람과 방법이 사용자의 암호를 알 필요가 많이 나타났습니다 사실을,하지만 난 그 사람이 조용한이 질문에 대답이 생각하지 않습니다. " 전체 데스크톱을 원하면 cmd 창뿐만 아니라 사용자 등이됩니다." 여기 내가가는 방법이 있습니다 :

참고 : 나중에 혼동을 없애기 위해이 첫 번째 명령 프롬프트를 CP1이라고합니다.

관리자 계정에서 명령 프롬프트를 엽니 다

대한 지역 계정

runas /profile /user:computernamehere\username cmd

대한 도메인 계정

runas /profile /user:domainname\username cmd

또는 내가 좋아하는 방식

runas /profile /user:username@domainname cmd

참고 : 새 명령 프롬프트가 열립니다 (CP2). 로그인하려는 사용자입니다.

CP1을 열고 다음을 입력하십시오.

taskkill /f /IM explorer.exe

CP2를 열고 다음을 입력하십시오.

explorer.exe

컴퓨터에 따라 이전에 로그온 한 적이없는 사용자에 대한 프로필을 만들 수 있습니다. 나중에 사용하기 위해 명령 프롬프트 창을 열어 두면 나중에 번거 로움을 줄일 수 있습니다 .

작업이 끝나면 동일한 작업을 반대로 수행하십시오.

CP2 유형에서 :

taskkill /f /IM explorer.exe

CP1을 열고 다음을 입력하십시오.

explorer.exe

이제 원래 관리자 계정으로 돌아와야합니다. Windows 키를 누르고 현재 사용자 패널을 찾아 빠른 점검을 수행 할 수 있습니다.

이것이 도움이 되었기를 바랍니다.


3
그것은 깊은 마술입니다.
mskfisher

@mskfisher Haha, 당신이 미쳤다고 생각한다면, 나쁜 wmic 명령을 실행 한 후 잠긴 psexec 세션을 죽이는 방법을 알아 내기 위해해야 ​​할 일을보아야합니다. ... psservices를 사용하여 첫 번째 명령 프롬프트에서 psexec의 프로세스 ID를 추적 한 후 원격 시스템을 가리키는 두 번째 명령 프롬프트의 기술!
Michael H

4 년 후 나는이 질문에 대해 생각하고 이것을 시험 할 시간이 있었다. 와우!
BIBD

Windows 10에서 runas를 사용하면 사용자 비밀번호를 묻는 프롬프트가 표시됩니다.
TheAmigo

7

이를 위해 Windows에는 기본 제공 메커니즘이 없습니다. 할 수는 있지만 원하는 것을 수행하기 위해 무언가를 작성해야하며 문서화되지 않은 API를 사용해야 할 것입니다.

여기 포스터 중 하나 인 grawity는 CreateProcessAsUser ()를 호출하는 것이 좋지만, 문서화되지 않은 원시 API zwCreateToken으로 먼저 토큰을 작성해야합니다. Explorer를 종료하고 CreateProcessAsUser ()를 사용하여 새 Explorer 인스턴스를 시작한 경우 원하는 것을 원할 것입니다.

Microsoft는 NT를 사용하기를 원하는 방식이 아니기 때문에 원하는 작업을 쉽게 수행 할 수 없습니다. 문제를 해결하기 위해 사용자로 로그온해야하는 경우 대부분의 경우 차선책으로 문제를 해결합니다.

로그온하지 않고 사용자 레지스트리를 변경할 수 있습니다 (레지스트리 하이브를 연결하고 조작하는 방식으로). 사용자로 로그온하지 않고 사용자 프로파일에서 파일을 변경할 수 있습니다. "이메일"또는 다른 사용자와 같은 다른 활동을 "사용자"로 설정해야하는 경우 스크립트를 작성하거나 기본 기능 (그룹 정책 관리 템플릿, 환경 설정 등)을 활용하여 더티 작업을 수행해야합니다.

이 작업 을 수행 해야하는 경우 코드 프로젝트에서 RunAsEx를 살펴보십시오. 이 코드는 당신이해야 할 일에 대해 상당히 좋은 아이디어를 제공해야합니다. 나는 프로그램을 시도하지 않았지만 모든 것이 올바른 방식으로 진행되고있는 것처럼 보입니다.


5

Windows XP 이상에서 다음 명령을 사용할 수 있습니다.

RunAs.exe

명령 행 옵션은 여기에서 사용할 수 있습니다 .

사용자 비밀번호를 모르면 작동하지 않습니다. 보안 식별자가로드되는 방식으로 인해 Windows에서 암호없이 사용자 계정으로 작동하는 방법이 없다고 생각합니다.


3
RunAs 프로그램을 사용하려면 여전히 원래 질문 상태를 알 수 없다고 생각하는 사용자의 비밀번호를 알아야합니다.
Kevin Kuphal

당신은 맞습니다 ... 나는 그것에 대해 잊었다.
Doug Luxem

2

(추정 일뿐입니다.) 계정에이 (가)있는 경우 비슷한 기능 SeCreateTokenPrivilege을 사용하여 프로세스를 작성하는 작은 프로그램을 작성할 수 CreateProcessAsUser()있습니다 ... (그러나 기본적으로 관리자조차 권한이 없습니다.)


2

이 사이트에서 언급 한 일부 sudo 솔루션에 대한 개인적인 경험은 없지만 우수한 Aaron Margosis가 시작한 비 관리자를 강력히 추천 합니다. 제한된 사용자를 롤아웃 할 때 큰 도움이됩니다. 다른 사람들이 Runas를 사용한다고 말했기 때문에 주로 무언가로 뛰어 들었습니다. 그러나 Windows 용 sudo라고 불리는 대부분 또는 전부는 암호없이 다른 사용자로 행동하기보다는 고도를 더 많이 처리한다고 생각합니다.


0

http://live.sysinternals.com의 프로세스 탐색기 procexp.exe 에는 파일 메뉴에서 제한된 사용자로 실행되므로 현재 자격 증명을 사용하여 프로그램을 실행할 수 있지만 ACL은 일반 자격 증명으로 제거됩니다. 사용자 (비 관리자) 사용자. 정확히 원하는 것은 아니지만 테스트에는 적합합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.