xcabur
Goto Top

Fehler bei Remote PowerShell mit einem Domänen-Benutzer

Hallo zusammen, habe wieder einmal ein interessantes Problem:

Auf einem Windows 10 Domänen-Computer habe ich RemotePowerShell aktiviert und einen Domänen-Benutzer der lokalen "Remote Management Users" Gruppe hinzugefügt. Von einem Windows 2012 RDS Server kann ich mit meinem Domänen-Administrator erfolgreich auf den Domänen-Computer verbinden.
Wenn ich mich mit dem Domänen-Benutzer verbinden will, erhalte ich nachfolgende Fehlermeldung. Dies sowohl, wenn ich mich mit dem Domänen-Benutzer am RDS anmelde, als auch wenn ich diesen mittels -Credential Parameter übergebe.

PS C:\Users\test.user> Enter-PSSession mycomputer.domain.tld
Enter-PSSession : The following error occurred while loading the extended type data file:
Microsoft.PowerShell.Core, C:\Windows\System32\WindowsPowerShell\v1.0\typesv3.ps1xml: The file was skipped because of
the following validation exception: AuthorizationManager check failed..
At line:1 char:1
+ Enter-PSSession mycomputer.domain.tld
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Enter-PSSession], RuntimeException
    + FullyQualifiedErrorId : ErrorsUpdatingTypes

Was ich bereits versucht habe:
  • Kontrolle ob die C:\Windows\System32\WindowsPowerShell\v1.0\typesv3.ps1xml vorhanden ist und ob der Domänen-Benutzer darauf zugreifen kann - kann er
  • Auf RDS und Client die ExecutionPolicy auf unrestricted --> keine Auswirkungen.
  • Auf RDS und Client die Intranet Zone konfiguriert --> keine Auswirkungen.
  • Den Benutzer aus der Remote Management Users Gruppe entfernt --> Dann erhalte ich einen Anmelde-Fehler, gleich beim Verbindungsaufbau. Daher den Benutzer wieder hinzugefügt
  • Die Berechtigungen unter Set-PSSessionConfiguration -Name Microsoft.PowerShell -showSecurityDescriptorUI angepasst --> keine Auswirkungen.

Hat jemand eine Idee?

Content-ID: 312997

Url: https://administrator.de/contentid/312997

Printed on: October 5, 2024 at 10:10 o'clock

emeriks
emeriks Aug 18, 2016 at 19:41:18 (UTC)
Goto Top
Hi,
wenn ich mich mit dem Domänen-Benutzer am RDS anmelde, als auch wenn ich diesen mittels -Credential Parameter übergebe.
Du bekommst bei Anmeldung via RDS mit diesem Benutzer die Fehlermeldung "AuthorizationManager check failed." ? Oder ne andere?

Hat der Benutzer das Recht, sich lokal an diesem Computer anzumelden?

Könnte es vielleicht in diese Richtung gehen?: http://msgoodies.blogspot.de/2009/09/using-ps-session-without-having.ht ...

E.
xcabur
xcabur Aug 19, 2016 at 16:46:45 (UTC)
Goto Top
Sorry, dass ich mich erst jetzt melde. Hatte etwas viel zu tun...

Also das Verbinden und Anmelden mit dem Domänen-Benutzer am RDS via RDP funktioniert natürlich. (Der Hinweis auf den RDS war ev. etwas missverständlich, es handelt sich einfach um einen Domänen-Benutzer, welcher per Remote PS auf einen Computer zugreiffen soll).

Der Fehler tritt beim Verbindungsaufbau (Enter-PSSession mycomputer.domain.tld ) durch den Domänen-Benutzer auf den entfernten Computer auf.

Der Domänen-Benutzer kann sich am entfernen Computer direkt anmelden.

Bzgl. deines Links:
  • Die Gruppe "PowerShell Session Users" gibt es nicht mehr (die Anleitung basiert auf XP und PS 2.0) nachfolger ist die beschriebene Remote Management Users Gruppe, wovon der Domänen-Benutzer Mitglied ist.
  • Wie beschrieben wurde Set-PSSessionConfiguration -Name Microsoft.PowerShell -showSecurityDescriptorUI angepasst

Könntest du das Scenario ev. bei dir nachstellen?
colinardo
colinardo Aug 19, 2016 updated at 17:32:28 (UTC)
Goto Top
Hallo xcabur,
zuerst einmal wenn der User in der Gruppe Remoteverwaltungsbenutzer steckt kann er lokal auf der Maschine eigentlich nicht viel anstellen außer sich hauptsächlich in den WMI-Namespaces bewegen, das war's dann aber auch schon. Er hat also keine besonders vielfältigen Berechtigungen, sollte sich aber zumindest per Enter-PSSession verbinden können.
Wie beschrieben wurde Set-PSSessionConfiguration -Name Microsoft.PowerShell -showSecurityDescriptorUI angepasst

Das ist nicht nötig wenn der User in der o.g. Gruppe steckt, diese haben bereits einen Berechtigungseintrag das musst du nur wenn er nicht in der Gruppe steckt oder du eine angepasste Sessionconfiguration erstellst.

Ich habe das hier schon mal zusammengefasst wie man benutzerdefinierte Session-Configurations erstellt und so die Umgebung absichert.
Windows Powershell Remote Domain Controller

Dein Verhalten kann ich hier aber in einer aktuellen Umgebung 2012R2 und Windows 10 nicht nachstellen, es muss also schon etwas bei euch geschraubt worden sein.
Wie wurde das ps-remoting aktiviert ? Mit Enable-PSRemoting in einer administrativen Konsole auf dem W10?

Ein Artikel der alle Vorraussetzungen für das interaktive Remoting sehr detailliert zusammenfasst ist dieser hier:
http://powershell.com/cs/media/p/7257.aspx#interactive-remoting

Auch sehr gut:
Secrets of PowerShell Remoting

Anschauen solltest du dir auf jeden Fall mal den Abschnitt The Second Hop (ganz unten)
https://devopscollective.gitbooks.io/secrets-of-powershell-remoting/cont ...

Grüße Uwe
xcabur
xcabur Aug 19, 2016 at 22:29:56 (UTC)
Goto Top
Hallo Uwe, danke für deine Inputs. Diese sind sehr interessant. Besonders weil du bestätigen kannst, dass die Nutzung von RemotePS als Domänen-Benutzer in einem w2k12/w10 Umfeld möglich ist. War mir bisher nicht ganz sicher. "So würde es funktionieren Beiträge" ohne praktische Erfahrungen gibt es ja viele im Internet...

Ich werde mir deine Links gerne nächste Woche ansehen und probieren eine Lösung zu finden.

Das ist nicht nötig wenn der User in der o.g. Gruppe steckt, diese haben bereits einen Berechtigungseintrag das musst du nur wenn er nicht in der Gruppe steckt oder du eine angepasste Sessionconfiguration erstellst.
Dachte ich mir, war ein Versuch wert


Dein Verhalten kann ich hier aber in einer aktuellen Umgebung 2012R2 und Windows 10 nicht nachstellen, es muss also schon etwas bei euch geschraubt worden sein.
Kann durchaus sein face-smile Versuche es nächste Woche einmal in einer anderen Umgebung

Wie wurde das ps-remoting aktiviert ? Mit Enable-PSRemoting in einer administrativen Konsole auf dem W10?
ja genau, als Admin kann ich mich ja auch verbinden

Gruss und Danke