Powershell 4.0 Remoting with Non Admin Domain Account

Question

Я ищу помощь для правильной настройки PowerShell Remoting для не-админов на группе серверов. Сейчас у нас есть рабочая конфигурация, которая позволяет учетным записям Admin Domain успешно подключаться к серверам без ошибок. Используемый нами метод аутентификации - Credssp, используя SSL, и это отлично работает для учетной записи администратора домена.

С другой стороны, у меня есть эта учетная запись пользователя userTest. Эта учетная запись сопоставляется с группой доменов, которая отображается локально (на каждом сервере) в группах пользователей пользователей удаленного рабочего стола. Это позволяет этому пользователю успешно выполнять RDP на этом сервере, но не имеет прав администратора. Он будет оставаться таким, и это не вариант сделать его местным администратором.

Цель этого пользователя - разрешить учетным записям, не связанным с администрированием, выполнять набор сценариев с сервером, используя Ограниченный сеанс, который соединяется с учетной записью администратора домена. Проблема возникает, когда я пытаюсь установить соединение с учетной записью пользователя . Сервер отвечает с Доступ запрещен об ошибке:

[ServerA] Connecting to remote server ServerA failed with the following error message : Access is denied. For more information, see the about_Remote_Troubleshooting Help topic. + CategoryInfo : OpenError: (ServerA:String) [], PSRemotingTransportException + FullyQualifiedErrorId : AccessDenied,PSSessionStateBroken

Переход через аналитической EventLogs я нашел сообщение об ошибке следующим образом:

The WSMan service could not launch a host process to process the given request. Make sure the WSMan provider host server and proxy are properly registered.

Это конфигурация, что у меня есть уже установлены:

• Cre мировали PSSessionConfiguration имени RemoteDesktopUsers

• Регистр-PSSessionConfiguration -Name RemoteDesktopUsers -StartupScript C: \ Start.ps1

• Set-PSSessionConfiguration -Name RemoteDesktopUsers -ShowSecurityDescriptorUI (Добавлен Пользователи удаленного рабочего стола группы к этому SessionConfiguration)

Так что да, в основном от того, что я уже Гугла, то это должно быть все необходимые настройки, что вам нужно, чтобы иметь возможность PSRemote Wi го аккаунтов, не связанных с администрированием. Как я уже упоминал, используя учетную запись администратора домена, подключая к этому SessionConfiguration отлично работает, так что я думал, что я не хватает какой-то разрешения/привилегии/SDDL, что позволяет этому пользователю доступ:

Windows Server 2008 R2 SP1
Powershell 4.0
Winrm ProductVersion = OS: 6.1.7601 SP: 1.0 Stack: 3.0

Answer 1

You» вероятно, столкнулся с этой проблемой из-за использования CredSSP

Любые конкретные причины, по которым вы должны использовать CredSSP? Наиболее популярное использование CredSSP предоставляется для ситуаций, когда вам нужно настроить сервер перехода на удаленный с одного компьютера на другой, а затем снова на другой сервер. Это хорошо известно как Second-Hop funtionality и является такой огромной дырой в безопасности, что CredSSP - это своего рода боль, которую нужно настроить, намеренно.

Вам необходимо настроить CredSSP в трех местах, на вашем компьютере, на котором вы будете удаленно, затем снова на машине, на которую вы будете прыгать, и, наконец, на каждой машине, с которой вы будете подключаться переход сервера.

Если вам действительно нужно использовать CredSSP, follow this great guide here в блоге The Scripting Guy.

Если вам не нужно CredSSP

Попробуйте весь этот процесс, используя авторизацию по умолчанию/WSMAN, и я держал пари, что проблемы исчезнут.