Kommandozeile und Identitätswechsel
Hier werden zwei verschiedene Dinge in einen Topf geworfen, und der Unterschied ist wesentlich.
Pfade, die das Kerberos-TGT erben, sind unproblematisch. Nach einer WHfB-Anmeldung läuft PowerShell-Remoting über Kerberos ohne Passwort auf dem entstandenen Ticket. Etwas anderes zu behaupten, wäre unredlich.
Pfade, die eine bereitgestellte Anmeldeinformation verlangen, sind das Problem: runas, runas /netonly, psexec mit expliziten Zugangsdaten, MMC- und RSAT-Werkzeuge, die als anderer Benutzer gestartet werden, geplante Tasks, die unter einem Benutzer mit hinterlegtem Passwort laufen. Das sind die Arbeitspferde des Betriebs.
Es gibt dafür eine dokumentierte WHfB-Antwort, und die verdient Anerkennung: Dual Enrollment, ein Zertifikat im Hello-Container des privilegierten Kontos, liefert passwortloses Run-as und passwortloses RDP, mit PIN statt getipptem Passwort. Das funktioniert. Es kostet allerdings AD CS, eine Zertifikatsvorlage, Zertifikate pro Benutzer und einen Dual-Enrollment-Prozess, und es hat dokumentierte Kanten, darunter die, dass ein per Intune ausgerolltes Zertifikat in Kombination mit einer Benutzerkontensteuerung, die Anmeldeinformationen auf dem sicheren Desktop abfragt, die Run-as-Funktion schlicht aushebelt.
Die ehrliche Aussage lautet also nicht, WHfB könne diese Pfade nicht abdecken. Sie lautet: Sie abzudecken bedeutet, genau jene Zertifikatsinfrastruktur wieder aufzubauen, die Cloud Kerberos Trust Ihnen ersparen sollte, und sie anschließend neben der Key-Trust-Bereitstellung zu pflegen, die Sie ohnehin schon haben.