我们有域外的设备,我们不希望它们在域内。但是,当设备在公司网络中时,我们正尝试在设备中使用某种SSO。
因此,为了做到这一点,我们看到Azure可以对其Windows10设备做类似的事情。
https://learn.microsoft.com/en-us/azure/active-directory/devices/azuread-join-sso
有没有办法使用Powershell或cmd从Windows 10做到这一点?获取 kerberos 票证并将其用于 SSO
谢谢!!
Windows 通过允许您使用域凭据登录桌面来支持 SSO。这些凭据填充在某处,然后在下次需要通过对本地 AD 进行身份验证来访问网络资源时检索。
未加入域的计算机执行完全相同的操作,但是您不执行步骤 1,即使用信誉登录计算机,因此您手头还没有它们。这就是为什么您在第一次遇到网络上的某些内容时会收到提示输入 creds 的原因。在第一次提示之后,你已向本地 AD 进行身份验证,然后可以开始在该域中获取 SSO。
Azure AD 联接(已链接到的内容)的工作方式相同,但它不是向本地 AD 进行身份验证,而是向 Azure AD 进行身份验证,然后在需要访问网络资源时将凭据打包以供以后使用,此时它会更改齿轮并向本地 AD 进行身份验证。
因此,具体而言,是的,如果登录用户位于 AADJ 计算机上,并且可以看到域控制器,则 PowerShell 脚本或应用可以请求 Kerberos 票证。关键点是机器是AADJ。