标签: credentials

在我们的办公室，当我们尝试 RDP 到办公室外的远程 Windows 2008 Server 时，我们所有的 Windows 7 客户端都会收到此错误消息：

您的系统管理员不允许使用已保存凭据的用户登录远程计算机 XXX，因为其身份未经完全验证。请输入新凭据

一个快速谷歌搜索导致了一些帖子，他们都建议我修改组策略等。

我的印象是，对此的常见解决方法是在每台 Windows 7 机器上遵循这些说明。

有什么方法可以通过 Active Directory 执行某些操作来更新办公室 LAN 中的所有 Windows 7 客户端？

在 Windows 平台上，是否有任何命令行实用程序可以传递username,password domain name以验证凭据（或可能给出帐户被禁用、不存在或过期的错误）？

有没有办法通过 --user 和 --password 从文件而不是命令行传递用户名和密码？

背景：我想通过 cron 运行 wget 并且不想在进程视图中显示用户名/密码

如何在个人计算机上安全地存储 AWS 凭证？

详细：

我们团队中的每个人都需要 AWS 安全凭证来执行管理任务（凭证按角色分开）。这些凭据通常以明文形式存储在磁盘上的某些配置文件中。我认为这是非常不安全的，特别是考虑到凭据分布在团队成员之间，最终以备份方式结束等。

我更喜欢以加密形式存储这些凭据（例如，类似于 ssh 密钥）。有没有一些自动化的方式这样做？或者我是否需要修改一些使用例如 openssl 来加密数据的 bash 脚本？

网络上有很多关于如何保护 EC2 实例上的凭证的信息。甚至还有此Amazon IAM 角色功能，但它也仅适用于 EC2。

尝试通过 RDP 登录 Amazon EC2 实例（运行 Windows Server 2012 R2）。它有效，我可以连接，但是保存了有效的凭据后，它们似乎永远不会在后续登录时被接受，总是拒绝它们并要求我手动重新输入密码部分。

没有任何关于它为什么不起作用的信息，只是它没有 - “您的凭据不起作用”和“登录尝试失败”。然后我像往常一样输入相同的密码，它起作用了。

我可以看到凭据实际上保存在凭据管理器中，并且总是在尝试登录时填写正确的名称。我还可以看到它在出现此对话框之前尝试保存的凭据一瞬间。

在谷歌上搜索答案后，我尝试了几件事，包括使用 IP 地址与 FQDN，使用组策略编辑器（“允许使用 NTLM-only 服务器身份验证委派保存的凭据”），并检查远程端的组策略，用于任何看起来不寻常的事情。没有骰子。

我如何让它接受它保存的凭据而不是每次都提示我？

我使用 Windows 资源管理器连接到我的 NAS，方法是在 Windows 资源管理器中输入 \\DS412。它提示我输入用户名和密码。我输入了它们，然后 DS412 出现在资源管理器中的网络下。工作得很好。

该共享由NET USE列出，我使用此命令断开连接：

网络使用 \\DS412\IPC$ /DELETE

这工作得很好。一次。

然后我使用用户名和密码重新连接，这次我选中了该框以记住这些凭据。工作得很好。

现在我又想以另一个用户的身份连接。所以我想从 \\DS412 断开连接并使用不同的凭据重新连接。

我尝试使用 NET USE，但它不再列出 \\DS412。再次输入NET USE \\DS412\IPC$ /DELETE导致找不到网络连接。

重新启动计算机没有帮助。\\DS412 不会自动显示在资源管理器中的网络下，但如果我在资源管理器栏中输入 \\DS412，它会立即使用我的旧凭据重新连接而不提示。

请注意，我没有将此 UNC 路径映射到任何驱动器号。我找到了这个建议，但正如你所看到的，它没有帮助。我找到了使用 regedit 的建议，但我没有找到建议的确切键，我真的不想破解注册表。这应该可以使用命令行命令吗？

我正在运行 Windows 7。

我正在尝试启动一个需要能够创建新会话（使用 New-PSSession）的虚拟机。当然，极具吸引力的about_Remote_Troubleshooting是我的常客！

调出基本机器（Win 8.1 Enterprise）后：

• 例如，我公司的主域是mycompany.com.
• 我们有一个开发域，dev.mycompany.com因此开发人员可以使用沙箱。
• 我将新的 VM（名为 my-vm）添加到了开发域dev.mycompany.com。
• 我在新 VM 上有一个本地帐户，该帐户位于my-vm\msorens本地计算机的管理员组中。

第一关：

New-PSSession由于跨域问题，尝试运行失败，访问被拒绝。根据上面引用的故障排除页面：

当另一个域中的用户是本地计算机上 Administrators 组的成员时，该用户无法以管理员权限远程连接到本地计算机。

我不相信这是真的（由于我在领域问题方面缺乏经验），但应用该补救措施的配方允许基本New-PSSession工作：

New-ItemProperty `
-Name LocalAccountTokenFilterPolicy `
-Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System `
-PropertyType DWord `
-Value 1

（虽然安全性较低，但很好，因为它只是一个沙盒虚拟机。）

第二关：

有了上面的补丁，我可以成功地做到以下任何一项：

PS> New-PSSession
PS> New-PSSession -ComputerName localhost
PS> New-PSSession -ComputerName my-vm

但是，我的实际需要是给出机器的 FQDN：

PS> New-PSSession -ComputerName my-vm.dev.mycompany.com

由于缺少凭据而失败。这让我们想到：

PS> New-PSSession -ComputerName my-vm.dev.mycompany.com -Credential (Get-Credential)

我尝试了我的本地（my-vm）凭据，导致WinRM 无法处理请求；没有可用的登录服务器。

我已经尝试过我的公司域凭据（请注意，这是 mycompany.com 不是虚拟机实际位于 …

我是 DSC 的新手，并试图弄清楚如何让它为我们工作。

我所坚持的是凭据实际上是如何受到保护的。我目前的理解是，它并不是那么好。

三大问题就是这些。使用公钥作为解密源如何真正保护这些凭据？推拉场景下哪些电脑需要证书？鉴于这些问题，处理凭证的最佳做法是什么？

使用证书的公钥有利于验证传输的来源。但是使用它作为解密密钥意味着对证书公钥的访问决定了对密码的访问。

如果您必须将证书推送到需要解密 MOF 文件的每台计算机，有什么可以阻止普通用户访问证书并能够解密 MOF？说活动目录安全意味着您也可以将其保留为纯文本并仅依靠 AD 安全。

有人可以帮我解决这个问题吗？

本文介绍了授予 Active Directory 用户“作为服务登录”权限应执行的（相对费力的）步骤。但是，如果我安装服务并手动指定我的 AD 帐户的登录凭据（服务属性 | 登录），Windows 会告诉我“帐户 [myaccount] 已被授予作为服务登录的权限”。然后我可以在我的帐户凭据下运行该服务。但是，在随后重新安装服务（或有时在重新启动时）时，由于登录失败，该服务再次无法启动......直到我再次进入并手动输入我的凭据，并且该帐户被神奇地“授予” “作为服务登录”的权利。在此之后，该服务可以再次在我的帐户凭据下启动。

这里发生了什么？为什么我显然有权即时授予自己此权利？如果我可以即时授予它，为什么它不保持授予状态而我必须继续重新授予它？请记住，我不是在问如何通过 Active Directory 向某人授予此权利 - 我指的是在您在“登录”窗口中输入凭据后，此权利似乎是由 Windows“自动授予”的。

所以我让 Jenkins-CI 与插件一起运行：

• 证书
• 凭据绑定
• 吉特

首先，为了使用远程存储库对 Git 进行身份验证，我将服务器凭据添加到没有域的全局作用域。

但是，这允许我的 Jenkins 服务器上的任何用户使用这些相同的凭据，从而与我的 Git 远程存储库进行交互。所以我试着去：

Jenkins-> People-> [Username]->Credentials

我尝试添加：

• 没有域的凭据（“全局（不受限制）”，但仍作为我的个人凭据而不是服务器范围的凭据）
• 添加凭证域，并以这种方式添加我的 Git 远程用户名和密码。

但是，当我进入Jobs-> [Job]-> Configure-> Source Code Management-> Git-> 时Credentials，它只列出服务器范围的凭据，而不是我注册到帐户的凭据。

所以我的问题是：如何使用对 Jenkins 服务器的其余部分不可用的凭据并在作业的 SCM 凭据中使用它们？