12
Remote Powershell - Domänen-Admin verschiedene Berechtigungen
Hallo Community,
ich möchte via Powershell(Remote) die Virtuellen Netzwerkadapter einer VM (Cluster) abfragen. Die Abfrage mache ich mit einem Benutzer der Domänen Administrator ist.
Abfrage VM1 (OS: 2012 R2) : Funktioniert
Abfrage VM2 (OS: 2019) : Funktioniert nicht (Sie haben nicht die nötigen Berechtigungen)
ClusterNodes laufen mit dem OS Windows Server 2016
Domänenfunktionsebene : 2012 R2
PS Abfrage:
$password = 'Passwort'
$pass = ConvertTo-SecureString -AsPlainText $password -Force
$Username = 'Domäne\User'
$Cred = New-Object System.Management.Automation.PSCredential -ArgumentList $Username,$pass
Get-VMNetworkAdapter -ComputerName 'ClusterNode' -VMName 'VM' -Credential $Cred
(Ich habe alle sensiblen Daten durch Platzhalter ersetzt)
Fehlermeldung:
Get-VMNetworkAdapter : Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer "ClusterNode".
In Zeile:6 Zeichen:1
Die beiden VM's als auch das Cluster befinden sich in der selben Domäne. Auf beiden VM's als auch auf den Cluster Nodes ist die Gruppe "Domänen Administratoren" in der Gruppe "Lokale Administratoren".
Da die VM1 vor meiner Zeit erstellt wurde und es keine Dokumentation darüber gibt, was dort alles eingestellt (Regedit, Gruppenrichtlinien) wurde, weiß ich nicht wo ich anfangen soll zu suchen.
Hat hier jemand eine Idee wo der Anfang sein könnte oder woran es liegt?
Danke und Gruß
Patrick
ich möchte via Powershell(Remote) die Virtuellen Netzwerkadapter einer VM (Cluster) abfragen. Die Abfrage mache ich mit einem Benutzer der Domänen Administrator ist.
Abfrage VM1 (OS: 2012 R2) : Funktioniert
Abfrage VM2 (OS: 2019) : Funktioniert nicht (Sie haben nicht die nötigen Berechtigungen)
ClusterNodes laufen mit dem OS Windows Server 2016
Domänenfunktionsebene : 2012 R2
PS Abfrage:
$password = 'Passwort'
$pass = ConvertTo-SecureString -AsPlainText $password -Force
$Username = 'Domäne\User'
$Cred = New-Object System.Management.Automation.PSCredential -ArgumentList $Username,$pass
Get-VMNetworkAdapter -ComputerName 'ClusterNode' -VMName 'VM' -Credential $Cred
(Ich habe alle sensiblen Daten durch Platzhalter ersetzt)
Fehlermeldung:
Get-VMNetworkAdapter : Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer "ClusterNode".
In Zeile:6 Zeichen:1
Die beiden VM's als auch das Cluster befinden sich in der selben Domäne. Auf beiden VM's als auch auf den Cluster Nodes ist die Gruppe "Domänen Administratoren" in der Gruppe "Lokale Administratoren".
Da die VM1 vor meiner Zeit erstellt wurde und es keine Dokumentation darüber gibt, was dort alles eingestellt (Regedit, Gruppenrichtlinien) wurde, weiß ich nicht wo ich anfangen soll zu suchen.
Hat hier jemand eine Idee wo der Anfang sein könnte oder woran es liegt?
Danke und Gruß
Patrick
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1255888677
Url: https://administrator.de/contentid/1255888677
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
12 Kommentare
Neuester Kommentar
Ich verstehe den umständlichen Weg der Cred-Abfrage nicht ...
Probier es einfach mal mit $creds = get-credential
Ich gehe mal davon aus, dass das eine einmalige Abfrage ist und das Skript nicht mehrmals unattended laufen muss.
Probier es einfach mal mit $creds = get-credential
Ich gehe mal davon aus, dass das eine einmalige Abfrage ist und das Skript nicht mehrmals unattended laufen muss.
Moin
https://www.windowspro.de/wolfgang-sommergut/rechner-ueber-winrm-mittels ...
https://www.windowspro.de/wolfgang-sommergut/winrm-ueber-gpos-konfigurie ...
Gruß Doskias
Zitat von @Sonny1895:
PS Abfrage:
$password = 'Passwort'
Passwort im Skript in Klartext? macht man nicht.$password = 'Passwort'
Get-VMNetworkAdapter -ComputerName 'ClusterNode' -VMName 'VM' -Credential $Cred
Ok und die MeldungFehlermeldung:
Get-VMNetworkAdapter : Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer "ClusterNode".
In Zeile:6 Zeichen:1
Klingt für mich als sei die 2019 nicht für remote PS Abfragen aktiviert.Get-VMNetworkAdapter : Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer "ClusterNode".
In Zeile:6 Zeichen:1
Die beiden VM's als auch das Cluster befinden sich in der selben Domäne. Auf beiden VM's als auch auf den Cluster Nodes ist die Gruppe "Domänen Administratoren" in der Gruppe "Lokale Administratoren".
Siehe oben. Denke nicht, dass es an den Adminberechtigungen liegt. vermute eher, dass es daran liegt dass die 2019er VM aus Sicherheitsgründen fremde PS-Abfragen ablehnt.Da die VM1 vor meiner Zeit erstellt wurde und es keine Dokumentation darüber gibt, was dort alles eingestellt (Regedit, Gruppenrichtlinien) wurde, weiß ich nicht wo ich anfangen soll zu suchen.
Da gibt es eine Menge Dokus. Das Stichwort ist WINRM:https://www.windowspro.de/wolfgang-sommergut/rechner-ueber-winrm-mittels ...
https://www.windowspro.de/wolfgang-sommergut/winrm-ueber-gpos-konfigurie ...
Gruß Doskias
Moin,
Oder gleich hinten an den Parameter hängen. Dann hat man einen Einzeiler
Liebe Grüße
Erik
Zitat von @Cloudrakete:
Ich verstehe den umständlichen Weg der Cred-Abfrage nicht ...
Probier es einfach mal mit $creds = get-credential
Ich verstehe den umständlichen Weg der Cred-Abfrage nicht ...
Probier es einfach mal mit $creds = get-credential
Oder gleich hinten an den Parameter hängen. Dann hat man einen Einzeiler
Get-VMNetworkAdapter ... -credential $(get-credential)Liebe Grüße
Erik
Moin,
Dachte ich auch zuerst. Aber das kann es nicht sein. Denn es wird ja nicht die VM gefragt, sondern der Host. Das ist, zumindest suggeriert das das Beispiel, immer derselbe Rechner mit derselben HyperV-Installation. So verstehe ich zumindest die Dokumentation. Und die Fehlermeldung sagt ja auch, dass der ClusterNode den Zugriff verweigert und nicht die VM2.
Das ist schon komisch, dass er den einen Adapter abfragen darf und den anderen nicht.
An den TO: Was kommt denn dabei heraus?
Das Ergebnis sollte alle VMs enthalten, die auf dem ClusterNode liegen. Achtung! Der Parameter ist nur -VM und nicht VMName.
Liebe Grüße
Erik
Zitat von @Doskias:
Get-VMNetworkAdapter -ComputerName 'ClusterNode' -VMName 'VM' -Credential $Cred
Ok und die MeldungFehlermeldung:
Get-VMNetworkAdapter : Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer "ClusterNode".
In Zeile:6 Zeichen:1
Klingt für mich als sei die 2019 nicht für remote PS Abfragen aktiviert.Get-VMNetworkAdapter : Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer "ClusterNode".
In Zeile:6 Zeichen:1
Dachte ich auch zuerst. Aber das kann es nicht sein. Denn es wird ja nicht die VM gefragt, sondern der Host. Das ist, zumindest suggeriert das das Beispiel, immer derselbe Rechner mit derselben HyperV-Installation. So verstehe ich zumindest die Dokumentation. Und die Fehlermeldung sagt ja auch, dass der ClusterNode den Zugriff verweigert und nicht die VM2.
Das ist schon komisch, dass er den einen Adapter abfragen darf und den anderen nicht.
An den TO: Was kommt denn dabei heraus?
Get-VMNetworkAdapter -VM * -ComputerName ClusterNode -credential $(get-credential)Das Ergebnis sollte alle VMs enthalten, die auf dem ClusterNode liegen. Achtung! Der Parameter ist nur -VM und nicht VMName.
Liebe Grüße
Erik
Hi zusammen,
@Doskias
@erikro
Danke und Gruß
Patrick
@Doskias
Passwort im Skript in Klartext? macht man nicht.
Ja das wird auch noch geändert. Momentan ist das Skript noch in fertigung und wird von verschiedenen VM's aus getestet. Nach fertigstellung des Skripts wird ein Hashwert dafür generiert @erikro
Dachte ich auch zuerst. Aber das kann es nicht sein. Denn es wird ja nicht die VM gefragt, sondern der Host. Das ist, zumindest suggeriert das das Beispiel, immer derselbe Rechner mit derselben HyperV-Installation. So verstehe ich zumindest die Dokumentation. Und die Fehlermeldung sagt ja auch, dass der ClusterNode den Zugriff verweigert und nicht die VM2.
Ja genau so meinte ich es auch.Get-VMNetworkAdapter -VM * -ComputerName ClusterNode -credential $(get-credential)
Probiere ich morgen direkt aus und werde berichten.Danke und Gruß
Patrick
Stimmt. WinRM fällt raus. Habe ich grade noch einmal extra für dich getestet 
. Dann würde die Meldung etwa
. Dann würde die Meldung etwaBeim Verbinden mit dem Remoteserver "blabla" ist folgender Fehler aufgetreten: Zugriff verweigert Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".
lauten.
Moin zusammen,
also folgenden Befehl habe ich ausgeführt:
Get-VMNetworkAdapter -ComputerName ClusterNode -VM * -Credential $cred
Folgende Fehlermeldung:
Der Parameter "VM" kann nicht gebunden werden. Der Wert "*" vom Typ "System.String" kann nicht in den Typ "Microsoft.HyperV.PowerShell.VirtualMachine" konvertiert werden.
Dann wollte ich ihm eine VM mit Get-VM mitgeben
Get-VM -ComputerName ClusterNode -Name VM -Credential $cred | Get-VMNetworkAdapter
Fehlermeldung:
Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer ClusterNode
Meine vermutung ist, das irgendein RegKEy oder eine Lokale Gruppenrichtlinie nicht gesetzt ist, nur weis ich halt nicht wo ich genau suchen soll. Google hat dazu jetzt auch nicht so viele Treffer gebracht.
Gruß
Patrick
also folgenden Befehl habe ich ausgeführt:
Get-VMNetworkAdapter -ComputerName ClusterNode -VM * -Credential $cred
Folgende Fehlermeldung:
Der Parameter "VM" kann nicht gebunden werden. Der Wert "*" vom Typ "System.String" kann nicht in den Typ "Microsoft.HyperV.PowerShell.VirtualMachine" konvertiert werden.
Dann wollte ich ihm eine VM mit Get-VM mitgeben
Get-VM -ComputerName ClusterNode -Name VM -Credential $cred | Get-VMNetworkAdapter
Fehlermeldung:
Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer ClusterNode
Meine vermutung ist, das irgendein RegKEy oder eine Lokale Gruppenrichtlinie nicht gesetzt ist, nur weis ich halt nicht wo ich genau suchen soll. Google hat dazu jetzt auch nicht so viele Treffer gebracht.
Gruß
Patrick
Zitat von @Cloudrakete:
Schau mal hier: https://www.windowspro.de/tool/hvremote-hyper-v-fuer-remote-verwaltung-k ...
Schau mal hier: https://www.windowspro.de/tool/hvremote-hyper-v-fuer-remote-verwaltung-k ...
Hi Cloudrakete,
wenn ich den Artikel richtig lese funktioniert das Script nur bis Maximal Server 2012 R2. Zu erwähnen wäre noch das die ClusterNode mit dem OS Windows Server 2016 laufen. Trage das sofort in meiner DSokumentation nach.
Sobald ich das Script gefunden habe (Der angegebene Link in dem Artikel funktioniert nicht) werde ich es trotzdem ausprobieren
Gruß
Patrick
Moin,
Frechheit. In der Doku steht:
Geht aber nicht. Sorry. Konnte ich gestern nicht ausprobieren.
Liebe Grüße
Erik
Zitat von @Sonny1895:
Moin zusammen,
also folgenden Befehl habe ich ausgeführt:
Get-VMNetworkAdapter -ComputerName ClusterNode -VM * -Credential $cred
Folgende Fehlermeldung:
Der Parameter "VM" kann nicht gebunden werden. Der Wert "*" vom Typ "System.String" kann nicht in den Typ "Microsoft.HyperV.PowerShell.VirtualMachine" konvertiert werden.
Moin zusammen,
also folgenden Befehl habe ich ausgeführt:
Get-VMNetworkAdapter -ComputerName ClusterNode -VM * -Credential $cred
Folgende Fehlermeldung:
Der Parameter "VM" kann nicht gebunden werden. Der Wert "*" vom Typ "System.String" kann nicht in den Typ "Microsoft.HyperV.PowerShell.VirtualMachine" konvertiert werden.
Frechheit. In der Doku steht:
-VM
Specifies the virtual machine whose virtual network adapters are to be retrieved. . The asterisk, "*", is the wildcard. If it is specified the cmdlet returns virtual network adapters from every virtual machine in the system.
Geht aber nicht. Sorry. Konnte ich gestern nicht ausprobieren.
Liebe Grüße
Erik
Nabend zusammen,
heute habe ich probiert in dem ich auf der Abfrage VM mich als Domänen Admin Anmelde.
Hat sofort funktioniert. Anscheinend gibt es da Probleme wenn der Angemeldete User ein lokaler ist und die Rechte des Domänen Admin benutzt.
Finde mich damit erst einmal ab auch wenn es nicht ganz meinen Vorstellungen entspricht verschiedenen Service-Usern (Für die Abteilungen) Domänen Rechte einzuräumen.
Gruß
Patrick
heute habe ich probiert in dem ich auf der Abfrage VM mich als Domänen Admin Anmelde.
Hat sofort funktioniert. Anscheinend gibt es da Probleme wenn der Angemeldete User ein lokaler ist und die Rechte des Domänen Admin benutzt.
Finde mich damit erst einmal ab
auch wenn es nicht ganz meinen Vorstellungen entspricht verschiedenen Service-Usern (Für die Abteilungen) Domänen Rechte einzuräumen.Gruß
Patrick
Moin,
Das ist durchaus möglich, dass das die UAC dazwischen haut. Darauf bin ich noch gar nicht gekommen. Evtl. musst Du, obwohl Du Admin bist, die PS "als Administrator" ausführen. Das hat man ja in vielen Situationen. Trotzdem bleibt es merkwürdig, dass es bei der einen klappt und bei der anderen nicht. Es sei denn ...
Bist Du bei der Aktion auf der vm1 als lokaler admin angemeldet und willst die vm2 abfragen?
Keine Ahnung, welche Rechte der User braucht. Aber sowas kann man eigentlich immer recht feinkörnig einstellen, so dass die eingeschränkten User nur genau das dürfen, was die können müssen.
Liebe Grüße
Erik
Zitat von @Sonny1895:
heute habe ich probiert in dem ich auf der Abfrage VM mich als Domänen Admin Anmelde.
Hat sofort funktioniert. Anscheinend gibt es da Probleme wenn der Angemeldete User ein lokaler ist und die Rechte des Domänen Admin benutzt.
heute habe ich probiert in dem ich auf der Abfrage VM mich als Domänen Admin Anmelde.
Hat sofort funktioniert. Anscheinend gibt es da Probleme wenn der Angemeldete User ein lokaler ist und die Rechte des Domänen Admin benutzt.
Das ist durchaus möglich, dass das die UAC dazwischen haut. Darauf bin ich noch gar nicht gekommen. Evtl. musst Du, obwohl Du Admin bist, die PS "als Administrator" ausführen. Das hat man ja in vielen Situationen. Trotzdem bleibt es merkwürdig, dass es bei der einen klappt und bei der anderen nicht. Es sei denn ...
Bist Du bei der Aktion auf der vm1 als lokaler admin angemeldet und willst die vm2 abfragen?
Finde mich damit erst einmal ab auch wenn es nicht ganz meinen Vorstellungen entspricht verschiedenen Service-Usern (Für die Abteilungen) Domänen Rechte einzuräumen.
auch wenn es nicht ganz meinen Vorstellungen entspricht verschiedenen Service-Usern (Für die Abteilungen) Domänen Rechte einzuräumen.Keine Ahnung, welche Rechte der User braucht. Aber sowas kann man eigentlich immer recht feinkörnig einstellen, so dass die eingeschränkten User nur genau das dürfen, was die können müssen.
Liebe Grüße
Erik
