Fehler bei Remote PowerShell mit einem Domänen-Benutzer
Hallo zusammen, habe wieder einmal ein interessantes Problem:
Auf einem Windows 10 Domänen-Computer habe ich RemotePowerShell aktiviert und einen Domänen-Benutzer der lokalen "Remote Management Users" Gruppe hinzugefügt. Von einem Windows 2012 RDS Server kann ich mit meinem Domänen-Administrator erfolgreich auf den Domänen-Computer verbinden.
Wenn ich mich mit dem Domänen-Benutzer verbinden will, erhalte ich nachfolgende Fehlermeldung. Dies sowohl, wenn ich mich mit dem Domänen-Benutzer am RDS anmelde, als auch wenn ich diesen mittels -Credential Parameter übergebe.
Was ich bereits versucht habe:
Hat jemand eine Idee?
Auf einem Windows 10 Domänen-Computer habe ich RemotePowerShell aktiviert und einen Domänen-Benutzer der lokalen "Remote Management Users" Gruppe hinzugefügt. Von einem Windows 2012 RDS Server kann ich mit meinem Domänen-Administrator erfolgreich auf den Domänen-Computer verbinden.
Wenn ich mich mit dem Domänen-Benutzer verbinden will, erhalte ich nachfolgende Fehlermeldung. Dies sowohl, wenn ich mich mit dem Domänen-Benutzer am RDS anmelde, als auch wenn ich diesen mittels -Credential Parameter übergebe.
PS C:\Users\test.user> Enter-PSSession mycomputer.domain.tld
Enter-PSSession : The following error occurred while loading the extended type data file:
Microsoft.PowerShell.Core, C:\Windows\System32\WindowsPowerShell\v1.0\typesv3.ps1xml: The file was skipped because of
the following validation exception: AuthorizationManager check failed..
At line:1 char:1
+ Enter-PSSession mycomputer.domain.tld
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Enter-PSSession], RuntimeException
+ FullyQualifiedErrorId : ErrorsUpdatingTypes
Was ich bereits versucht habe:
- Kontrolle ob die C:\Windows\System32\WindowsPowerShell\v1.0\typesv3.ps1xml vorhanden ist und ob der Domänen-Benutzer darauf zugreifen kann - kann er
- Auf RDS und Client die ExecutionPolicy auf unrestricted --> keine Auswirkungen.
- Auf RDS und Client die Intranet Zone konfiguriert --> keine Auswirkungen.
- Den Benutzer aus der Remote Management Users Gruppe entfernt --> Dann erhalte ich einen Anmelde-Fehler, gleich beim Verbindungsaufbau. Daher den Benutzer wieder hinzugefügt
- Die Berechtigungen unter Set-PSSessionConfiguration -Name Microsoft.PowerShell -showSecurityDescriptorUI angepasst --> keine Auswirkungen.
Hat jemand eine Idee?
Please also mark the comments that contributed to the solution of the article
Content-ID: 312997
Url: https://administrator.de/contentid/312997
Printed on: October 5, 2024 at 10:10 o'clock
4 Comments
Latest comment
Hi,
Hat der Benutzer das Recht, sich lokal an diesem Computer anzumelden?
Könnte es vielleicht in diese Richtung gehen?: http://msgoodies.blogspot.de/2009/09/using-ps-session-without-having.ht ...
E.
wenn ich mich mit dem Domänen-Benutzer am RDS anmelde, als auch wenn ich diesen mittels -Credential Parameter übergebe.
Du bekommst bei Anmeldung via RDS mit diesem Benutzer die Fehlermeldung "AuthorizationManager check failed." ? Oder ne andere?Hat der Benutzer das Recht, sich lokal an diesem Computer anzumelden?
Könnte es vielleicht in diese Richtung gehen?: http://msgoodies.blogspot.de/2009/09/using-ps-session-without-having.ht ...
E.
Hallo xcabur,
zuerst einmal wenn der User in der Gruppe Remoteverwaltungsbenutzer steckt kann er lokal auf der Maschine eigentlich nicht viel anstellen außer sich hauptsächlich in den WMI-Namespaces bewegen, das war's dann aber auch schon. Er hat also keine besonders vielfältigen Berechtigungen, sollte sich aber zumindest per Enter-PSSession verbinden können.
Das ist nicht nötig wenn der User in der o.g. Gruppe steckt, diese haben bereits einen Berechtigungseintrag das musst du nur wenn er nicht in der Gruppe steckt oder du eine angepasste Sessionconfiguration erstellst.
Ich habe das hier schon mal zusammengefasst wie man benutzerdefinierte Session-Configurations erstellt und so die Umgebung absichert.
Windows Powershell Remote Domain Controller
Dein Verhalten kann ich hier aber in einer aktuellen Umgebung 2012R2 und Windows 10 nicht nachstellen, es muss also schon etwas bei euch geschraubt worden sein.
Wie wurde das ps-remoting aktiviert ? Mit Enable-PSRemoting in einer administrativen Konsole auf dem W10?
Ein Artikel der alle Vorraussetzungen für das interaktive Remoting sehr detailliert zusammenfasst ist dieser hier:
http://powershell.com/cs/media/p/7257.aspx#interactive-remoting
Auch sehr gut:
Secrets of PowerShell Remoting
Anschauen solltest du dir auf jeden Fall mal den Abschnitt The Second Hop (ganz unten)
https://devopscollective.gitbooks.io/secrets-of-powershell-remoting/cont ...
Grüße Uwe
zuerst einmal wenn der User in der Gruppe Remoteverwaltungsbenutzer steckt kann er lokal auf der Maschine eigentlich nicht viel anstellen außer sich hauptsächlich in den WMI-Namespaces bewegen, das war's dann aber auch schon. Er hat also keine besonders vielfältigen Berechtigungen, sollte sich aber zumindest per Enter-PSSession verbinden können.
Wie beschrieben wurde Set-PSSessionConfiguration -Name Microsoft.PowerShell -showSecurityDescriptorUI angepasst
Das ist nicht nötig wenn der User in der o.g. Gruppe steckt, diese haben bereits einen Berechtigungseintrag das musst du nur wenn er nicht in der Gruppe steckt oder du eine angepasste Sessionconfiguration erstellst.
Ich habe das hier schon mal zusammengefasst wie man benutzerdefinierte Session-Configurations erstellt und so die Umgebung absichert.
Windows Powershell Remote Domain Controller
Dein Verhalten kann ich hier aber in einer aktuellen Umgebung 2012R2 und Windows 10 nicht nachstellen, es muss also schon etwas bei euch geschraubt worden sein.
Wie wurde das ps-remoting aktiviert ? Mit Enable-PSRemoting in einer administrativen Konsole auf dem W10?
Ein Artikel der alle Vorraussetzungen für das interaktive Remoting sehr detailliert zusammenfasst ist dieser hier:
http://powershell.com/cs/media/p/7257.aspx#interactive-remoting
Auch sehr gut:
Secrets of PowerShell Remoting
Anschauen solltest du dir auf jeden Fall mal den Abschnitt The Second Hop (ganz unten)
https://devopscollective.gitbooks.io/secrets-of-powershell-remoting/cont ...
Grüße Uwe