Admin tools outside the domain.

[בעז 21]

Admin tools outside the domain.

יש לי מחשב שלא נמצא בדומיין אלא בworkgroup . למחשב כמובן יש קשר לדומיין הספציפי באמצעות קו. התקנתי עליו Admin tools ואני רוצה לשלוט באמצעותם על ה Active directory (להוסיף,למחוק משתמשים.. עבודה רגילה) לאחר הביצוע גיליתי שזה לא פשוט.. השאלה שלי האם זה בכלל אפשרי כלומר האם אפשר לנהל את AD באמצעות ה Admin tools מחוץ לדומיין... ואם כן אך?. בברכה בעז.

 

[antidot]

בעייתי

הבעיה היא שAdmin tools ניגשים לשירותים שונים של AD ועבור כל שירות אתה חייב לעבור אוטנטיקציה. כאשר המחשב בדומיין אותו אתה מנהל או שיש trust, האוטנטיקציה שקופה ובמקרה האופטמלי אתה מקבל ברקע kerberos ticket עבור כל שירות אליו אתה ניגש. כיוון שהמחשב לא בדומיין, הוא אינו יכול להשתמש בkerberos וAD לא מסוגל לוודא את קיום/אמינות חשבון המחשב ממנו אתה ניגש. יתרה מזאת, חלק מהכלים מבצעים explicit bind לLDAP - ז"א שאפילו אם תבצע אוטנטיקציה ידנית מול LDAP, הכלי עדיין ינסה לבצע אוטנטיקציה (עם שם משתמש/סיסמא איתם אתה כרגע logged int ) ויכשל. בקיצר: או שתתחיל ללמוד איך מבצעים את אותם דברים משורת פקודה (rcmd או psexec חבריך הנאמנים במקרה זה) או שתתקין תחנה בדומיין אותו אתה מנהל.