Модулю MDT при обновлении носителя через конечную точку JEA не удается добавить запись BCD

Я столкнулся с проблемой удаленного обновления автономного носителя MDT на конечной точке JEA. Ошибка как-то связана с разрешениями, переданными BCDEdit, и виртуальной учетной записью, созданной JEA (пользователь WinRM...). BCDEdit возвращает

Произошла ошибка при попытке выполнить указанную операцию создания. Этот идентификатор безопасности не может быть назначен владельцем этого объекта.

при попытке обновить файл BCD с загрузочной конфигурацией x64.

Команда:

Invoke-Command -ComputerName $DeploymentServerName -ConfigurationName MDTUpdate -ScriptBlock { 
        New-PSDrive -Name "DS002" -PSProvider MDTProvider -Root "$Using:LocalDeploymentShareFolder" -ErrorAction Stop
        Update-MDTMedia -Path "DS002:\Media\MEDIA001" -Verbose
    } -Credential $MDTCreds -ErrorAction Stop

Команда, которую запускает модуль MDT:

'C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\AMD64\BCDBoot\bcdedit.exe' -store "C:\MyVMs\MDT\USB\Content\Boot\bcd" /create "{f31cce1a-e314-4481-9ac9-e519f65dff65}" -d "Litetouch Boot [MEDIA001] (x64)" -application OSLOADER

Ошибка из стенограммы JEA:

VERBOSE: Error detected running command: 'C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\AMD64\BCDBoot\bcdedit.exe -store "C:\MyVMs\MDT\USB\Content\Content\Boot\bcd" /create "{f31cce1a-e314-4481-9ac9-e519f65dff65}" -d "Litetouch Boot [MEDIA001] (x64)" -application OSLOADER' Exit code is: 1
VERBOSE: Error text is: An error occurred while attempting the specified create operation.  This security ID may not be assigned as the owner of this object.
Update-MDTMedia : BcdEdit returned an error.
At line:5 char:9
+         Update-MDTMedia -Path "DS002:\Media\MEDIA001" -Verbose
+         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (MEDIA001:String) [Update-MDTMedia], DeploymentPointException
    + FullyQualifiedErrorId : BcdEditError,Microsoft.BDD.PSSnapIn.GenerateMDTMedia

Соответствующая информация из конфигурации сеанса:

@{
    SchemaVersion = '2.0.0.0'
    SessionType = 'Default'
    ExecutionPolicy = 'Unrestricted'
    LanguageMode = 'FullLanguage'
    TranscriptDirectory = 'C:\JEA\Transcripts'
    RunAsVirtualAccount = $true
    RoleDefinitions = @{
        'ExampleDomain\ExampleUserOrGroup' = @{
            'RoleCapabilities' = 'MDTUpdate'  
        } 
    }
}

Соответствующее содержимое из конфигурации роли:

@{
ModulesToImport = 'C:\Program Files\Microsoft Deployment Toolkit\Bin\MicrosoftDeploymentToolkit.psd1'
VisibleCmdlets = 'Get-Command','Out-Default','Exit-PSSession','Measure-Object','Select-Object','Get-FormatData','Start-Transcript','Stop-Transcript','Import-Module','Get-Module','New-PSDrive','Write-Output','Update-MDTDeploymentShare','Remove-Item','Update-MDTMedia','New-Item','Remove-PSDrive'
VisibleProviders = 'FileSystem', 'MDTProvider'
VisibleExternalCommands = 'bcdedit.exe'
}

Как я могу предоставить BCDEdit соответствующие разрешения при работе под виртуальной учетной записью? Или мне нужно отказаться от JEA и предоставить служебной учетной записи права локального администратора и запустить ее под PSSession по умолчанию?


powershell mdt
person BenH    schedule 13.09.2017    source источник
comment
Я работал над этим разделением носителей x86 и x64, чтобы BCDEdit не нужно было запускать. Но все еще ищу способ исправить разрешения учетной записи Virtual JEA, если есть способ.   -  person BenH    schedule 26.09.2017

Ответы (1)


arrow_upward
2
arrow_downward

Что приходит на ум, так это убедиться, что группа, частью которой является учетная запись, имеет больше, чем просто разрешения только для чтения. У меня был случай, когда я мог запустить любую команду powershell, но когда дело доходило до вызова собственной программы, отличной от powershell, у меня возникали проблемы с разрешением.

Единственная другая вещь, помимо этого, - использовать runas в блоке скрипта, но это как бы идет вразрез со всей целью JEA.

person Alex    schedule 20.09.2017
comment
Я думаю, вы могли бы что-то здесь понять, я предположил, что администраторы имеют полный контроль над bcdedit. Но похоже, что exe имеет только чтение и выполнение для администраторов. Мне нужно будет запустить еще одну задачу сборки для проверки, но это может быть она. - person BenH; 20.09.2017
comment
К сожалению, это не решило проблему. VERBOSE: Error detected running command: 'C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\AMD64\BCDBoot\bcdedit.exe -store "C:\MyVMs\MDT\USB\Content\Boot\bcd" /create "{d158c079-c7c7-4204-b3d5-8060fef07b48}" -d "Litetouch Boot [MEDIA001] (x64)" -application OSLOADER' Exit code is: 1 VERBOSE: Error text is: An error occurred while attempting the specified create operation. This security ID may not be assigned as the owner of this object. - person BenH; 20.09.2017