Powershell
管理員組中的使用者無法使用 PowerShell 遠端執行管理任務,只有管理員可以
我正在使用 Windows Server 2016(工作組)並在其上啟用了 powershell 遠端處理。只有預設管理員帳戶才能執行需要管理權限的任務,例如
Get-Service Get-DnsServerZone
當我這樣做時,我得到了
access denied
錯誤。我可以使用 powershell 遠端連接到它並做一些諸如此類get-process
的事情。備註:無論我創建什麼使用者(是的,我將它們添加到管理員組)。我也將它添加到遠端管理使用者中。我用我的 Hyper-V 沙盒虛擬機來做這件事,但它在我的生產伺服器上根本不起作用。我還嘗試通過在 PSSessionConfiguration 的 SDDL 權限中添加特定使用者 SID 來修復它,但它也不起作用。這是 PSSessionConfiguration (我使用的使用者名是
despot
,伺服器名稱是phantom12
)Name : microsoft.powershell PSVersion : 5.1 StartupScript : RunAsUser : Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed, phantom12\despot AccessAllowed Name : microsoft.powershell.workflow PSVersion : 5.1 StartupScript : RunAsUser : Permission : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed, phantom12\despot AccessAllowed Name : microsoft.powershell32 PSVersion : 5.1 StartupScript : RunAsUser : Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed Name : microsoft.windows.servermanagerworkflows PSVersion : 3.0 StartupScript : RunAsUser : Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, phantom12\despot AccessAllowed
這是我在 WSMAN 服務部分修改的 SDDL 字元串(我添加的 SID 是使用者 SID 而不是它的組)
O:NSG:BAD:P(A;;GA;;;LA)(A;;GA;;;BA)(A;;GA;;;S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
令人沮喪的是我可以用我的虛擬機來做這件事並更改權限,但它在我的生產伺服器上不起作用,我不想重新安裝 Windows。就像他們沒有被添加到管理員組一樣,即使我添加了它們。
提前謝謝大家!
此行為是設計使然,但可以通過更改系統資料庫設置來禁用。
在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
找到或創建該
DWORD
值LocalAccountTokenFilterPolicy
並將其設置為 1。然後您可能需要重新啟動。這將允許遠端連接(包括 Powershell 遠端處理)具有不受限制的管理員訪問權限,而不會產生完全關閉 UAC 的不良副作用。