Я работаю над Windows Server 2016 (рабочая группа) и включил на нем удаленное взаимодействие с PowerShell. Только учетная запись администратора по умолчанию может выполнять задачи, требующие разрешения администратора, например
Get-Service
Get-DnsServerZone
и когда я это сделаю, я получаю access denied
ошибка. Я могу подключиться к нему удаленно с помощью PowerShell и сделать кое-что вроде get-process
и так далее.
примечания: независимо от того, какого пользователя я создаю (и да, я добавляю их в группу администраторов). Я также добавил его к пользователям удаленного управления. Я делаю это с моей виртуальной машиной песочницы Hyper-V, но она просто не работает на моем рабочем сервере. Я также попытался исправить это, добавив SID конкретного пользователя в разрешение SDDL в PSSessionConfiguration, но это тоже не сработало. Вот PSSessionConfiguration (имя пользователя, которое я использовал, despot
и имя сервера phantom12
)
Name : microsoft.powershell
PSVersion : 5.1
StartupScript :
RunAsUser :
Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
Management Users AccessAllowed, phantom12\despot AccessAllowed
Name : microsoft.powershell.workflow
PSVersion : 5.1
StartupScript :
RunAsUser :
Permission : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed, phantom12\despot
AccessAllowed
Name : microsoft.powershell32
PSVersion : 5.1
StartupScript :
RunAsUser :
Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
Management Users AccessAllowed
Name : microsoft.windows.servermanagerworkflows
PSVersion : 3.0
StartupScript :
RunAsUser :
Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, phantom12\despot
AccessAllowed
и вот строка SDDL, которую я изменил в разделе службы WSMAN (добавленный SID - это SID пользователя, а не его группа)
O:NSG:BAD:P(A;;GA;;;LA)(A;;GA;;;BA)(A;;GA;;;S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
разочаровывает то, что я могу сделать это с моей виртуальной машиной и изменить разрешения, но это не будет работать на моем рабочем сервере, и я не хочу переустанавливать Windows. просто как будто их не добавили в группу администраторов, хотя я их добавил.
Всем заранее спасибо!
Такое поведение было задумано, но его можно отключить, изменив параметр реестра.
В
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
найти или создать DWORD
стоимость LocalAccountTokenFilterPolicy
и установите его на 1. После этого вам может потребоваться перезагрузка.
Это позволит удаленным подключениям (включая удаленное взаимодействие Powershell) иметь неограниченный доступ администратора, без нежелательные побочные эффекты полного отключения UAC.