Powershell-вызов команды доступ запрещен, пока не выполняется под учетной записью администратора домена

Question

Powershell-вызов команды доступ запрещен, пока не выполняется под учетной записью администратора домена

Я использую скрипт для создания папки на удаленном сервере, который является сервером filew и RODC. Когда я запускаю сценарий от пользователя администратора домена, команда завершается успешно. Когда я запускаю с учетной записью, которая находится в группе, которая может администрировать RODC, мне отказано в доступе.

$remotefolder = [scriptblock]::create("New-Item -Path d:testfolder -type directory -Force ")
Invoke-Command -ComputerName server1 -ScriptBlock $remotefolder

Я получаю эту ошибку:

[server1] Connecting to remote server server1 failed with the following error message : Access is denied. 
For more information, see the about_Remote_Troubleshooting Help topic.
    + CategoryInfo          : OpenError: (server1:String) [], PSRemotingTransportException
    + FullyQualifiedErrorId : AccessDenied,PSSessionStateBroken

Поскольку это RODC, нет локальных групп, которые я могу добавить своим пользователям, которым нужно запустить этот скрипт.

Кто-нибудь знает, как я могу перестать получать это доступ запрещен ?

Обновление 12/12: Я попробовал тот же блок скрипта только на сервере-участнике домена, и я не получаю сообщение об отказе в доступе, папка создается так, как она должна. Есть какие-нибудь сложности, как я могу заставить этот блок скрипта работать на RODC без использования администратора домена ?

1 3

powershell winrm active-directory

1 ответ:

Simon · Accepted Answer · 2013-12-15 13:56:55

Вам, вероятно, следует прочитать о PSSessionConfiguration, прежде чем делать это, так что вы понимаете последствия, начиная с
help about_Session_Configurations
Сначала создайте доменную группу под названием "пользователи PowerShell RODC". Поместите себя в него, дождитесь репликации, выйдите из системы и снова включите. Проверьте, что вы находитесь в этой группе.

Во-вторых, из приподнятой оболочки на RODC выполните следующее:
Set-PSSessionConfiguration microsoft.powershell -ShowSecurityDescriptorUI
(после первого раза вы, вероятно, захотите использовать -Force, но полезно посмотреть, что он делает.) Хит Y когда просят подтвердить.

Через несколько секунд он отобразит пользовательский интерфейс разрешений для http://schemas.microsoft.com/powershell/microsoft.powershell

Нажмите кнопку Добавить, введите имя группы в появившемся диалоговом окне и нажмите кнопку ОК.

В поле" разрешения для удаленного доступа к RODC PowerShell " начните с чтения и выполнения. (Возможно, Вам потребуется написать или полный контроль, в зависимости от того, что вы хотите сделать.) нажимать OK.

Затем введите Y в окне PowerShell для подтверждения вы хотите перезапустить WinRM.

Если вы уже настроили удаленное управление на RODC, то теперь вы можете запустить:
Invoke-Command -ComputerName server1 { $env:computername }