使用 DC 进入 PSSession 需要哪些权限?
What rights are necessary to enter a PSSession with a DC?
我想切换 SYSVOL 文件夹中的 2 个文件。为此,我需要从我们的日程服务器调用域控制器上的脚本。
$Server = Get-ADDomainController | select Name
Invoke-Command -ComputerName $Server.Name -ScriptBlock {
$Path = "c:\Windows\SYSVOL\sysvol\domain.com\scripts\Folder"
$Source = "$Path\backgrounddefault1.JPG"
$trg = "$Path\backgrounddefault.JPG"
Copy-Item -Path $Source -Destination $trg -Force
}
但是,如果我不将服务帐户提升为域管理员,脚本将被拒绝访问。
我有没有其他方法可以做到这一点,或者有其他团体赋予他这种特定权利?
群组名为 "Remote Management Users"。但是,显然,您还需要对该文件夹的权限。专门为这些权限创建一个新组,并使其成为 RMU 的成员。使服务帐户成为新组的成员。 (请注意,其中 none 特定于 DC。)
如果您想在不更改 Sysvol 子目录的任何权限的情况下执行此操作,我能想到的最干净的方法是在本地系统下的 DC 运行 上创建一个仅执行此操作的计划任务, 并授予服务帐户启动此任务的权限。 (没有此接口,但您可以操纵 Get-ScheduledTask 得到的 SecurityDescriptor;例如,参见 this question。
如果此任务需要 parameters/input,它会变得更加棘手,因为您需要以某种方式在文件中提供这些。因为该任务实际上具有域管理员权限,所以您必须非常小心地检查您的输入并确保该任务没有可利用的漏洞。只是调整那个特定文件夹的权限对我来说似乎更容易也更安全。
最后但并非最不重要的一点是,在执行此类操作时,始终值得调查您尝试执行的操作是否无法通过组策略以某种方式完成,因为它留下了明确的意图声明(和审计跟踪).
我想切换 SYSVOL 文件夹中的 2 个文件。为此,我需要从我们的日程服务器调用域控制器上的脚本。
$Server = Get-ADDomainController | select Name
Invoke-Command -ComputerName $Server.Name -ScriptBlock {
$Path = "c:\Windows\SYSVOL\sysvol\domain.com\scripts\Folder"
$Source = "$Path\backgrounddefault1.JPG"
$trg = "$Path\backgrounddefault.JPG"
Copy-Item -Path $Source -Destination $trg -Force
}
但是,如果我不将服务帐户提升为域管理员,脚本将被拒绝访问。 我有没有其他方法可以做到这一点,或者有其他团体赋予他这种特定权利?
群组名为 "Remote Management Users"。但是,显然,您还需要对该文件夹的权限。专门为这些权限创建一个新组,并使其成为 RMU 的成员。使服务帐户成为新组的成员。 (请注意,其中 none 特定于 DC。)
如果您想在不更改 Sysvol 子目录的任何权限的情况下执行此操作,我能想到的最干净的方法是在本地系统下的 DC 运行 上创建一个仅执行此操作的计划任务, 并授予服务帐户启动此任务的权限。 (没有此接口,但您可以操纵 Get-ScheduledTask 得到的 SecurityDescriptor;例如,参见 this question。
如果此任务需要 parameters/input,它会变得更加棘手,因为您需要以某种方式在文件中提供这些。因为该任务实际上具有域管理员权限,所以您必须非常小心地检查您的输入并确保该任务没有可利用的漏洞。只是调整那个特定文件夹的权限对我来说似乎更容易也更安全。
最后但并非最不重要的一点是,在执行此类操作时,始终值得调查您尝试执行的操作是否无法通过组策略以某种方式完成,因为它留下了明确的意图声明(和审计跟踪).