Назад | Перейти на главную страницу

Включить WinRM для пользователя домена

Можно ли включить соединение WinRM для пользователя домена? У меня есть сценарий автоматизации, который использует winrm для подключения к удаленным машинам. Соединение winrm не работает с именем пользователя и паролем домена так, как оно работает с учетной записью администратора. Нужно ли включить какие-либо настройки, чтобы пользователь домена имел доступ к машине через WinRM?

Автоматизация с помощью terraform (vsphere)

Есть два метода (о которых я знаю), чтобы добиться этого.

Во-первых (самый простой), вы можете добавить нужные учетные записи в группу «Пользователи удаленного управления», зависящую от области видимости (группа домена, если требуется доступ к контроллерам домена, или локальная группа, если требуется доступ к рядовому серверу или рабочей станции) .

В качестве альтернативы вы можете зарегистрировать новую конфигурацию сеанса PS (Регистр-PSSessionConfiguration - процесс, в который я не буду входить), или изменить ACL существующего PSSessionConfiguration по умолчанию, Microsoft.Powershell, (Set-PSSessionConfiguration).

Чтобы изменить существующую конфигурацию, вы можете использовать графический интерфейс SDDL, выполнив следующее:

Set-PSSessionConfiguration -Name Microsoft.Powershell -ShowSecurityDescriptorUI

Появится знакомое диалоговое окно безопасности для изменения ACL. В зависимости от того, что вы хотите сделать, вам придется соответствующим образом настроить разрешения. Это придется повторить вручную на каждой конечной точке.

Или, если вы хотите создать сценарий изменений для нескольких конечных точек, вы можете использовать строку SDDL. В зависимости от вашего знакомства с синтаксисом SDDL это может оказаться более сложным, но позволит вам легко «развернуть» изменения.

Set-PSSessionConfiguration -Name Microsoft.Powershell -SecurityDescriptorSddl "O:NSG:BAD:P(A;;GA;;;BA)(A;;GA;;;RM)(A;;GXGR;;;S-1-5-21-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXXX)(A;;GA;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)"

Вышеупомянутый SDDL преобразуется в настройки по умолчанию (захваченные на изображении выше) с дополнительной записью для объекта AD с разрешениями на чтение и выполнение. S-1-5-32-580 - это хорошо известный SID для группы пользователей удаленного управления.

  <SCOPE>\Administrators:  Full Control 
  <SCOPE>\S-1-5-32-580:    Full Control 
  <SCOPE>\<Principal>:     Execute (Invoke);Read(Get,Enumerate,Subscribe)
  INTERACTIVE:             Full Control

Может эта ссылка поможет.

Как включить WinRM с групповой политикой домена для удаленного взаимодействия PowerShell