Powershell - доступ к командам запрещен, если он не запущен под учетной записью администратора домена

Я использую сценарий для создания папки на удаленном сервере, который является файловым сервером и контроллером домена только для чтения. Когда я запускаю сценарий от администратора домена, команда выполняется успешно. Когда я запускаю с учетной записью, которая находится в группе, которая может администрировать RODC, мне отказано в доступе.

$remotefolder = [scriptblock]::create("New-Item -Path d:\testfolder -type directory -Force ")
Invoke-Command -ComputerName server1 -ScriptBlock $remotefolder

Я получаю такую ​​ошибку:

[server1] Connecting to remote server server1 failed with the following error message : Access is denied. 
For more information, see the about_Remote_Troubleshooting Help topic.
    + CategoryInfo          : OpenError: (server1:String) [], PSRemotingTransportException
    + FullyQualifiedErrorId : AccessDenied,PSSessionStateBroken

Поскольку это RODC, я не могу добавлять локальных групп пользователей, которым необходимо запускать этот скрипт.

Кто-нибудь знает, как я могу перестать получать доступ к этому?

Обновление 12/12: я попробовал тот же блок сценария только на рядовом сервере домена, и я не получаю сообщение об отказе в доступе, папка создается должным образом. Есть ли какие-либо проблемы с тем, как я могу запустить этот блок сценария на RODC без использования пользователя-администратора домена?


powershell active-directory winrm domaincontroller powershell-3.0
person lotirthos227    schedule 11.12.2013    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Вам, вероятно, следует прочитать PSSessionConfiguration, прежде чем делать это, чтобы понять последствия, начиная с

help about_Session_Configurations

Сначала создайте группу домена под названием «Пользователи RODC PowerShell». Включите себя, дождитесь репликации, выйдите из системы и снова включитесь. Убедитесь, что вы в этой группе.

Во-вторых, из расширенной оболочки на контроллере домена только для чтения запустите следующее:

Set-PSSessionConfiguration microsoft.powershell -ShowSecurityDescriptorUI

(После первого раза вы, вероятно, захотите использовать -Force, но полезно посмотреть, что он делает.) Нажмите Y, когда вас попросят подтвердить.

Через несколько секунд отобразится пользовательский интерфейс разрешений для http://schemas.microsoft.com/powershell/microsoft.powershell

Нажмите «Добавить», введите имя своей группы в открывшемся диалоговом окне и нажмите «ОК».

В поле «Разрешения для удаленного доступа RODC PowerShell» начните с чтения и выполнения. (Вам может потребоваться запись или полный доступ, в зависимости от того, что вы хотите сделать.) Нажмите «ОК».

Затем введите Y в окне PowerShell, чтобы подтвердить, что вы хотите перезапустить WinRM.

С удаленного компьютера, если вы уже настроили удаленное взаимодействие на RODC, теперь вы должны иметь возможность запускать:

Invoke-Command -ComputerName server1 { $env:computername }
person Simon    schedule 15.12.2013
comment
Это мне очень помогло. Мне пришлось добавить группу в корневую систему безопасности WMI, а также добавить ту же группу в mydomain \ Distributed COM Users и mydomain \ Performance Log Users. Что ж, операция, которую мне нужно сделать, - это не только запрос, но и создать папку и поделиться ею с надлежащей безопасностью. . Я все еще работаю над совместным использованием. Поскольку мой обычный пользователь не создает общий ресурс, который он должен создать. админ домена, все работает нормально. - person lotirthos227; 16.12.2013