Можно ли делегировать только достаточно разрешений, чтобы пользователь мог использовать только удаленный сеанс Powershell?
У меня есть ограниченный набор сценариев, которые я хочу запускать из центра на нескольких серверах, используя назначенную учетную запись службы.
Я не хочу, чтобы этот пользователь службы мог выполнять такие действия, как вход на компьютер.
Это возможно? Удаляет ли удаление права входа в систему и право на выполнение удаленного сеанса Powershell?
Помимо запрета интерактивного входа в систему, вы можете ограничить доступ удаленных пользователей к удаленная конечная точка что обнажает ограниченное пространство выполнения.
По сути, вы настраиваете конечную точку в удаленной системе, которая при подключении удаляет все командлеты из сеанса и экспортирует только командлеты, внесенные вами в белый список. Это также позволяет вам предоставлять прокси-функции с дополнительной проверкой ввода и журналированием, вместо того, чтобы предоставлять удаленному пользователю «полный контроль».
Это требует некоторой работы для настройки, но в конечном итоге снижает вероятность того, что удаленный пользователь что-то сломает случайно.
Это тот же подход, который используется модулем PowerShell v5 "JEA" (Just-Enough-Admin), но вы можете реализовать ограниченные пространства выполнения, начиная с версии 3.0.
Сеанс Powershell Remoting / WinRM - это вход в сеть. Итак, если вы хотите запретить этому пользователю входить в систему на компьютере интерактивно, запретить ему или ей возможность входа в консоль и запретить вход через удаленный рабочий стол. Сделайте это либо с помощью локальной политики безопасности, либо с помощью групповой политики, если компьютер находится в домене. Это означает, что учетная запись пользователя по-прежнему сможет установить сеанс удаленного взаимодействия Powershell, но не сможет войти на тот же компьютер в интерактивном режиме.