管理員組中的使用者無法使用 PowerShell 遠端執行管理任務，只有管理員可以

我正在使用 Windows Server 2016（工作組）並在其上啟用了 powershell 遠端處理。只有預設管理員帳戶才能執行需要管理權限的任務，例如

Get-Service
Get-DnsServerZone

當我這樣做時，我得到了access denied 錯誤。我可以使用 powershell 遠端連接到它並做一些諸如此類get-process的事情。

備註：無論我創建什麼使用者（是的，我將它們添加到管理員組）。我也將它添加到遠端管理使用者中。我用我的 Hyper-V 沙盒虛擬機來做這件事，但它在我的生產伺服器上根本不起作用。我還嘗試通過在 PSSessionConfiguration 的 SDDL 權限中添加特定使用者 SID 來修復它，但它也不起作用。這是 PSSessionConfiguration （我使用的使用者名是despot，伺服器名稱是phantom12）

Name          : microsoft.powershell
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
               Management Users AccessAllowed, phantom12\despot AccessAllowed

Name          : microsoft.powershell.workflow
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed, phantom12\despot
               AccessAllowed

Name          : microsoft.powershell32
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
               Management Users AccessAllowed

Name          : microsoft.windows.servermanagerworkflows
PSVersion     : 3.0
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, phantom12\despot
               AccessAllowed

這是我在 WSMAN 服務部分修改的 SDDL 字元串（我添加的 SID 是使用者 SID 而不是它的組）

O:NSG:BAD:P(A;;GA;;;LA)(A;;GA;;;BA)(A;;GA;;;S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)

令人沮喪的是我可以用我的虛擬機來做這件事並更改權限，但它在我的生產伺服器上不起作用，我不想重新安裝 Windows。就像他們沒有被添加到管理員組一樣，即使我添加了它們。

提前謝謝大家！

此行為是設計使然，但可以通過更改系統資料庫設置來禁用。

在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

找到或創建該DWORD值LocalAccountTokenFilterPolicy並將其設置為 1。然後您可能需要重新啟動。

這將允許遠端連接（包括 Powershell 遠端處理）具有不受限制的管理員訪問權限，而不會產生完全關閉 UAC 的不良副作用。

引用自：https://serverfault.com/questions/940502