Я ищу помощь для правильной настройки PowerShell Remoting для не-админов на группе серверов. Сейчас у нас есть рабочая конфигурация, которая позволяет учетным записям Admin Domain успешно подключаться к серверам без ошибок. Используемый нами метод аутентификации - Credssp, используя SSL, и это отлично работает для учетной записи администратора домена.Powershell 4.0 Remoting with Non Admin Domain Account
С другой стороны, у меня есть эта учетная запись пользователя userTest. Эта учетная запись сопоставляется с группой доменов, которая отображается локально (на каждом сервере) в группах пользователей пользователей удаленного рабочего стола. Это позволяет этому пользователю успешно выполнять RDP на этом сервере, но не имеет прав администратора. Он будет оставаться таким, и это не вариант сделать его местным администратором.
Цель этого пользователя - разрешить учетным записям, не связанным с администрированием, выполнять набор сценариев с сервером, используя Ограниченный сеанс, который соединяется с учетной записью администратора домена. Проблема возникает, когда я пытаюсь установить соединение с учетной записью пользователя . Сервер отвечает с Доступ запрещен об ошибке:
[ServerA] Connecting to remote server ServerA failed with the following error message : Access is denied. For more information, see the about_Remote_Troubleshooting Help topic. + CategoryInfo : OpenError: (ServerA:String) [], PSRemotingTransportException + FullyQualifiedErrorId : AccessDenied,PSSessionStateBroken
Переход через аналитической EventLogs я нашел сообщение об ошибке следующим образом:
The WSMan service could not launch a host process to process the given request. Make sure the WSMan provider host server and proxy are properly registered.
Это конфигурация, что у меня есть уже установлены:
Cre мировали PSSessionConfiguration имени RemoteDesktopUsers
Регистр-PSSessionConfiguration -Name RemoteDesktopUsers -StartupScript C: \ Start.ps1
Set-PSSessionConfiguration -Name RemoteDesktopUsers -ShowSecurityDescriptorUI (Добавлен Пользователи удаленного рабочего стола группы к этому SessionConfiguration)
Так что да, в основном от того, что я уже Гугла, то это должно быть все необходимые настройки, что вам нужно, чтобы иметь возможность PSRemote Wi го аккаунтов, не связанных с администрированием. Как я уже упоминал, используя учетную запись администратора домена, подключая к этому SessionConfiguration отлично работает, так что я думал, что я не хватает какой-то разрешения/привилегии/SDDL, что позволяет этому пользователю доступ:
Windows Server 2008 R2 SP1
Powershell 4.0
Winrm ProductVersion = OS: 6.1.7601 SP: 1.0 Stack: 3.0
Спасибо FoxDeploy, прямо сейчас мы RDP на сервер: «ServerDeploy», из которого размещены сценарии, а затем мы переходим на каждый сервер фермы, на который мы нацеливаем скрипт. Мне нужен Creddssp для этого сценария? Итак, вы говорите, что вообще отказаться от конфигурации Credssp. Я не уверен, почему Credssp настроен, только после того, что уже было настроено здесь. –
Да, вам не нужно credSSP. потому что вы переходите на этот сервер, а оттуда удаляете PS, это всего лишь один прыжок с удалением PowerShell. Однако, если вы с рабочего стола PowerShell удалились в ServerDeploy и оттуда вышли все ваши сценарии, которые удалены в другом месте, вам понадобится CredSSP. Единственная веская причина использовать второй прыжок - это сверхвысокие условия безопасности, когда вы разрешаете управлять отдельными группами машин удаленно подмножеством людей на подмножестве машин. Это известно как сценарий сценария перехода, распространенный в финансовых компаниях высокого уровня. – FoxDeploy
Хорошо, я сбросил CreddSSP, запустив Disable-WsManCredSSP как на клиенте, так и на сервере. Активированная базовая аутентификация и разрешенный незашифрованный трафик как на клиенте, так и на сервере. По-прежнему используется SSL на порту 5986. Все еще доступ запрещен. –