Ejecutar ADUC como otro usuario (RUNAS)

¿Está buscando una manera de ejecutar usuarios de Active Directory y su ordenador desde otro usuario?

Entonces usted está en el lugar correcto.

Lo mejor para los administradores del sistema es tener al menos dos cuentas, una con permisos normales y otra con permisos elevados para realizar tareas administrativas.

Esto aumentará la seguridad y reducirá el riesgo de ataques maliciosos como RansomWare.

Iniciar sesión con una cuenta regular requerirá que otro usuario ejecute ciertos programas, como usuarios de Active Directory y Computadoras.

En este tutorial, le mostraré dos métodos diferentes para ejecutar programas de otro usuario.

Índice

Método 1: Uso de RUNAS

En Windows 2000, Microsoft introdujo el comando runas. Este comando está diseñado para permitir que un usuario ejecute un programa específico con una cuenta diferente.

Para usar el comando runas, solo necesita conocer la ruta al programa.

Aquí hay un comando para ejecutar usuarios y ordenadores de Active Directory de otro usuario.

runas /netonly /user:[email protected] "mmc %SystemRoot%system32dsa.msc"

Nota: Cambiar el nombre de usuario y el dominio

te pedirá una contraseña

Si recibe un mensaje de error a continuación, significa que tiene UAC habilitado. Para evitar esto, debe hacer clic con el botón derecho en CMD y ejecutar como administrador.

Ahora puede pensar que será difícil ingresar este comando cada vez que ejecute ADUC.

Solución fácil.

Simplemente puedo poner el comando en un archivo de texto y guardarlo como un archivo .bat (archivo por lotes).

Guarde el archivo .bat en algún lugar para un acceso rápido, luego ejecute ADUC con un solo clic.

Guardé el mío en mi escritorio.

Puede usar este método para otras consolas de administración

política de grupo

runas /netonly /user:[email protected] "mmc %SystemRoot%system32gpmc.msc"

gestión de DNS

runas /netonly /user:[email protected] "mmc %SystemRoot%system32dnsmgmt.msc"

DHCP

runas /netonly /user:[email protected] "mmc %SystemRoot%system32dhcpmgmt.msc"

Dominios y AD de confianza

runas /netonly /user:[email protected] "mmc %SystemRoot%system32domain.msc"

Entiendes la idea, solo encuentra una manera y conéctala.

Método 2: crear accesos directos

Este método es muy similar al primero, solo echamos de menos la necesidad de abrir la línea de comando.

En esencia, se trata de crear accesos directos para el programa mediante el comando "Ejecutar como".

Haga clic derecho en el escritorio o en cualquier lugar donde desee crear un acceso directo.

El acceso directo es el mismo que el primer método, solo necesita especificar la ruta a runas.exe.

Haga clic en Siguiente

Proporcione el acceso directo y el título y haga clic en Listo

Esto es para la segunda forma.

Si no le gusta ninguno de estos métodos, existe una tercera opción, que consiste en configurar un administrador seguro o una estación de trabajo de servidor terminal.

Las estaciones de trabajo seguras para administradores son sistemas de uso limitado diseñados para realizar tareas administrativas. La estación de trabajo del administrador debe bloquearse sin acceso a Internet y solo deben instalarse las herramientas necesarias para reducir el impacto del ataque.

Hay algunos buenos documentos de Microsoft sobre esto, están detallados. Si te tomas en serio la seguridad, te recomiendo que los leas.

Proteja activos de alto valor con estaciones de trabajo seguras para administradores

Estaciones de trabajo con acceso privilegiado

Para empezar esto es lo que recomiendo y lo que hago en mi entorno.

  • Configurar el servidor de terminales
  • Instale solo las herramientas de administrador necesarias (herramientas RSAT, putty, acceso a consolas web)
  • Sin acceso a Internet en los servidores de terminales
  • Restrinja algunos sistemas para acceder solo a través de la dirección IP de la estación de trabajo del administrador
  • Implemente la autenticación de dos factores en la estación de trabajo del administrador

Ahora que mi equipo necesita realizar la tarea de administrador, debe conectarse a la estación de trabajo del administrador. Dependiendo de cómo configure sus cuentas, esto reducirá lo que puede hacer un atacante, incluso si viola una cuenta privilegiada. Tendrían que acceder a la estación de trabajo del administrador y omitir la autenticación de dos factores.

Nada es a prueba de balas, pero es una manera fácil de minimizar el riesgo.

Artículos de interés

Subir