Las credenciales compartidas son inseguras y difíciles de administrar
Como ha descubierto, otorgar de forma segura el acceso de múltiples usuarios a un recurso utilizando una sola cuenta de usuario es problemático. Explico al final de esta respuesta qué hace que esto sea difícil y por qué debe evitarse.
Pero primero, la forma correcta de otorgar acceso a un recurso es mediante el uso de cuentas de usuario individuales para cada usuario que necesita acceso. La forma en que lo haga será diferente para las máquinas que forman parte del dominio del host de recursos de destino y las que no lo son.
Miembros del mismo dominio
Para los usuarios que acceden al recurso desde máquinas que están en el mismo dominio que la computadora que aloja el recurso, simplemente debe otorgar acceso a las cuentas de usuario de AD existentes que necesitan acceso. El método de mejores prácticas es el siguiente:
- Crea un grupo de seguridad de dominio.
- Otorgue al grupo acceso al recurso de destino.
- Convierta cada objeto de usuario de AD que necesita acceso al recurso en un miembro del grupo de seguridad.
Miembros que no son de dominio
Para los usuarios que necesitan acceso al recurso pero desde máquinas que no están en el dominio del recurso, el método de mejor práctica sigue siendo otorgar acceso a cuentas de usuario individuales de la siguiente manera:
Cree cuentas de usuario de Active Directory con los mismos nombres de usuario y contraseñas utilizados para iniciar sesión en las computadoras que no son de dominio que requieren acceso al recurso.
Si por alguna razón no tiene acceso a las contraseñas de los usuarios, entonces puede:
a. Cree cuentas de usuario de AD para cada usuario que no sea de dominio y asigne una contraseña de su elección. En este caso, debe especificar nombres de usuario que sean diferentes a los utilizados en la computadora que no sea de dominio; de lo contrario, el nombre de usuario coincidirá pero la contraseña no, bloqueando el inicio de sesión exitoso. (Privilegiado.)
segundo. Cree un único objeto de usuario de AD que será compartido por todos los usuarios que no sean de dominio. (No preferido, ver más abajo).
Convierta a los nuevos usuarios de AD en objeto (s) miembros del grupo que creó en el paso 1 en la sección anterior.
¿Por qué evitar un único objeto de usuario al otorgar acceso a múltiples usuarios?
Como puede ver, el enfoque de mejores prácticas evita el uso de un único nombre de usuario y contraseña para otorgar acceso al recurso. Hay varias razones para esto:
Las cuentas compartidas son inflexibles para cambiar los requisitos de acceso. Cuando llega el momento de revocar el acceso de un usuario, una cuenta compartida es implacable. Debe cambiar la contraseña de la cuenta, lo que requiere cambiarla en todos los dispositivos que aún requieren acceso, lo que lleva a ...
Las contraseñas compartidas requieren mucho trabajo para cambiar. Asumimos que está utilizando la contraseña para mantener a ciertos usuarios fuera, lo que hace inevitable un cambio de contraseña. Pero en lugar de cambiar la contraseña en un dispositivo, debe cambiarla en muchos dispositivos, la mayoría de los cuales a menudo se administran de manera no centralizada. Para empeorar las cosas, hasta que se implemente la nueva contraseña, los dispositivos que usan la contraseña anterior no pueden acceder al recurso.
Las cuentas compartidas no identifican usuarios autorizados. En ninguna parte del sistema tendrá visibilidad de quién tiene acceso a través de la cuenta compartida. Usted (y cualquier otra persona que gestione el entorno) deberá mantener una lista separada. Y a diferencia de cuando se otorga autorización directamente a los objetos de usuario, no hay garantía de que la lista externa sea precisa. Además, cuando se supervisa el acceso al recurso en tiempo real, una cuenta compartida no revela quién está realmente utilizando el recurso.
Las cuentas compartidas están más expuestas a compromisos. Son utilizados por más personas de más lugares en más sistemas, cada uno representando un posible punto de compromiso. Consulte el número 1 para ver la dificultad que implica solucionar esto con un cambio de contraseña.
Distribución masiva de una única credencial de inicio de sesión
Quizás descubra que aún debe emplear un nombre de usuario y contraseña compartidos para otorgar acceso al recurso. Si se encuentra en este caso, la mala noticia es que no hay forma de distribuirlo convenientemente de manera automatizada que mantenga una apariencia de seguridad.
El principal problema para la automatización es el hecho de que es necesario usar / guardar la credencial compartida en el contexto de inicio de sesión del usuario que accede al recurso . Esto descarta cualquier proceso de automatización remota (a menos que conozca la contraseña de cada usuario, en cuyo caso no necesita usar una credencial compartida).
Todo lo que queda es acceder a las computadoras una por una mientras el usuario está presente para que puedan iniciar sesión mientras almacena la credencial compartida, o para proporcionar la credencial directamente a los usuarios para que puedan ingresarla ellos mismos.
Everyone
identidad acceso al recurso compartido?