Назад | Перейти на главную страницу

Пользователи в группе администраторов не могут выполнять административные задачи с помощью удаленного взаимодействия PowerShell только администратор может

Я работаю над Windows Server 2016 (рабочая группа) и включил на нем удаленное взаимодействие с PowerShell. Только учетная запись администратора по умолчанию может выполнять задачи, требующие разрешения администратора, например

Get-Service
Get-DnsServerZone

и когда я это сделаю, я получаю access denied ошибка. Я могу подключиться к нему удаленно с помощью PowerShell и сделать кое-что вроде get-process и так далее.

примечания: независимо от того, какого пользователя я создаю (и да, я добавляю их в группу администраторов). Я также добавил его к пользователям удаленного управления. Я делаю это с моей виртуальной машиной песочницы Hyper-V, но она просто не работает на моем рабочем сервере. Я также попытался исправить это, добавив SID конкретного пользователя в разрешение SDDL в PSSessionConfiguration, но это тоже не сработало. Вот PSSessionConfiguration (имя пользователя, которое я использовал, despot и имя сервера phantom12 )

Name          : microsoft.powershell
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
                Management Users AccessAllowed, phantom12\despot AccessAllowed

Name          : microsoft.powershell.workflow
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed, phantom12\despot
                AccessAllowed

Name          : microsoft.powershell32
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
                Management Users AccessAllowed

Name          : microsoft.windows.servermanagerworkflows
PSVersion     : 3.0
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, phantom12\despot
                AccessAllowed

и вот строка SDDL, которую я изменил в разделе службы WSMAN (добавленный SID - это SID пользователя, а не его группа)

O:NSG:BAD:P(A;;GA;;;LA)(A;;GA;;;BA)(A;;GA;;;S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)

разочаровывает то, что я могу сделать это с моей виртуальной машиной и изменить разрешения, но это не будет работать на моем рабочем сервере, и я не хочу переустанавливать Windows. просто как будто их не добавили в группу администраторов, хотя я их добавил.

Всем заранее спасибо!

Такое поведение было задумано, но его можно отключить, изменив параметр реестра.

В

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

найти или создать DWORD стоимость LocalAccountTokenFilterPolicy и установите его на 1. После этого вам может потребоваться перезагрузка.

Это позволит удаленным подключениям (включая удаленное взаимодействие Powershell) иметь неограниченный доступ администратора, без нежелательные побочные эффекты полного отключения UAC.