我们有域外的设备,我们不希望它们在域内。但是,当这些设备位于公司网络中时,我们正在尝试在这些设备中使用某种 SSO。
因此,为了做到这一点,我们看到 Azure 可以在其 Windows10 设备上做类似的事情。
https://docs.microsoft.com/en-us/azure/active-directory/devices/azuread-join-sso
有什么方法可以在 Windows 10 上使用 powershell 或 cmd 做到这一点?获取 kerberos 票证并将其用于 SSO
谢谢!!
【问题讨论】:
标签: windows active-directory kerberos
Windows 通过让您使用域凭据登录桌面来支持 SSO。这些凭据被塞在某个地方,然后在您下次需要通过对本地 AD 进行身份验证来访问网络资源时检索。
未加入域的机器执行完全相同的操作,但是您不执行第 1 步,即使用凭据登录机器,因此您手头上并没有这些凭据。这就是为什么您第一次在网络上点击某些东西时会提示您输入信用。在第一个提示之后,您已通过本地 AD 的身份验证,然后可以开始在该域中获取 SSO。
您已链接到的 Azure AD Join 以相同的方式工作,但它不是对本地 AD 进行身份验证,而是对 Azure AD 进行身份验证,然后将凭据存储起来,以便以后在您需要点击网络资源,此时它会换档并向本地 AD 进行身份验证。
特别是,如果登录的用户在 AADJ 机器上并且可以看到域控制器,则 PowerShell 脚本或应用程序可以请求 Kerberos 票证。关键是机器是 AADJ。
【讨论】: