Remote Powershell - Domänen-Admin verschiedene Berechtigungen

Mitglied: Sonny1895
Hallo Community,

ich möchte via Powershell(Remote) die Virtuellen Netzwerkadapter einer VM (Cluster) abfragen. Die Abfrage mache ich mit einem Benutzer der Domänen Administrator ist.

Abfrage VM1 (OS: 2012 R2) : Funktioniert
Abfrage VM2 (OS: 2019) : Funktioniert nicht (Sie haben nicht die nötigen Berechtigungen)

ClusterNodes laufen mit dem OS Windows Server 2016

Domänenfunktionsebene : 2012 R2

PS Abfrage:

$password = 'Passwort'
$pass = ConvertTo-SecureString -AsPlainText $password -Force
$Username = 'Domäne\User'
$Cred = New-Object System.Management.Automation.PSCredential -ArgumentList $Username,$pass

Get-VMNetworkAdapter -ComputerName 'ClusterNode' -VMName 'VM' -Credential $Cred

(Ich habe alle sensiblen Daten durch Platzhalter ersetzt)

Fehlermeldung:

Get-VMNetworkAdapter : Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer "ClusterNode".
In Zeile:6 Zeichen:1


Die beiden VM's als auch das Cluster befinden sich in der selben Domäne. Auf beiden VM's als auch auf den Cluster Nodes ist die Gruppe "Domänen Administratoren" in der Gruppe "Lokale Administratoren".

Da die VM1 vor meiner Zeit erstellt wurde und es keine Dokumentation darüber gibt, was dort alles eingestellt (Regedit, Gruppenrichtlinien) wurde, weiß ich nicht wo ich anfangen soll zu suchen.

Hat hier jemand eine Idee wo der Anfang sein könnte oder woran es liegt?

Danke und Gruß
Patrick

Content-Key: 1255888677

Url: https://administrator.de/contentid/1255888677

Ausgedruckt am: 25.09.2021 um 16:09 Uhr

Mitglied: Cloudrakete
Cloudrakete 13.09.2021 um 15:11:49 Uhr
Goto Top
Ich verstehe den umständlichen Weg der Cred-Abfrage nicht ...
Probier es einfach mal mit $creds = get-credential

Ich gehe mal davon aus, dass das eine einmalige Abfrage ist und das Skript nicht mehrmals unattended laufen muss.
Mitglied: Doskias
Doskias 13.09.2021 um 15:21:13 Uhr
Goto Top
Moin
Zitat von @Sonny1895:

PS Abfrage:
$password = 'Passwort'
Passwort im Skript in Klartext? macht man nicht.

Get-VMNetworkAdapter -ComputerName 'ClusterNode' -VMName 'VM' -Credential $Cred
Ok und die Meldung
Fehlermeldung:
Get-VMNetworkAdapter : Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer "ClusterNode".
In Zeile:6 Zeichen:1
Klingt für mich als sei die 2019 nicht für remote PS Abfragen aktiviert.

Die beiden VM's als auch das Cluster befinden sich in der selben Domäne. Auf beiden VM's als auch auf den Cluster Nodes ist die Gruppe "Domänen Administratoren" in der Gruppe "Lokale Administratoren".
Siehe oben. Denke nicht, dass es an den Adminberechtigungen liegt. vermute eher, dass es daran liegt dass die 2019er VM aus Sicherheitsgründen fremde PS-Abfragen ablehnt.


Da die VM1 vor meiner Zeit erstellt wurde und es keine Dokumentation darüber gibt, was dort alles eingestellt (Regedit, Gruppenrichtlinien) wurde, weiß ich nicht wo ich anfangen soll zu suchen.
Da gibt es eine Menge Dokus. Das Stichwort ist WINRM:
https://www.windowspro.de/wolfgang-sommergut/rechner-ueber-winrm-mittels ...
https://www.windowspro.de/wolfgang-sommergut/winrm-ueber-gpos-konfigurie ...

Gruß Doskias
Mitglied: erikro
erikro 13.09.2021 um 17:09:30 Uhr
Goto Top
Moin,

Zitat von @Cloudrakete:

Ich verstehe den umständlichen Weg der Cred-Abfrage nicht ...
Probier es einfach mal mit $creds = get-credential

Oder gleich hinten an den Parameter hängen. Dann hat man einen Einzeiler


Liebe Grüße

Erik
Mitglied: erikro
erikro 13.09.2021 um 17:20:10 Uhr
Goto Top
Moin,

Zitat von @Doskias:
Get-VMNetworkAdapter -ComputerName 'ClusterNode' -VMName 'VM' -Credential $Cred
Ok und die Meldung
Fehlermeldung:
Get-VMNetworkAdapter : Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer "ClusterNode".
In Zeile:6 Zeichen:1
Klingt für mich als sei die 2019 nicht für remote PS Abfragen aktiviert.

Dachte ich auch zuerst. Aber das kann es nicht sein. Denn es wird ja nicht die VM gefragt, sondern der Host. Das ist, zumindest suggeriert das das Beispiel, immer derselbe Rechner mit derselben HyperV-Installation. So verstehe ich zumindest die Dokumentation. Und die Fehlermeldung sagt ja auch, dass der ClusterNode den Zugriff verweigert und nicht die VM2.

Das ist schon komisch, dass er den einen Adapter abfragen darf und den anderen nicht.

An den TO: Was kommt denn dabei heraus?


Das Ergebnis sollte alle VMs enthalten, die auf dem ClusterNode liegen. Achtung! Der Parameter ist nur -VM und nicht VMName.

Liebe Grüße

Erik
Mitglied: Sonny1895
Sonny1895 13.09.2021 um 20:14:19 Uhr
Goto Top
Hi zusammen,

@Doskias

Passwort im Skript in Klartext? macht man nicht.
Ja das wird auch noch geändert. Momentan ist das Skript noch in fertigung und wird von verschiedenen VM's aus getestet. Nach fertigstellung des Skripts wird ein Hashwert dafür generiert :-) face-smile


@erikro

Dachte ich auch zuerst. Aber das kann es nicht sein. Denn es wird ja nicht die VM gefragt, sondern der Host. Das ist, zumindest suggeriert das das Beispiel, immer derselbe Rechner mit derselben HyperV-Installation. So verstehe ich zumindest die Dokumentation. Und die Fehlermeldung sagt ja auch, dass der ClusterNode den Zugriff verweigert und nicht die VM2.
Ja genau so meinte ich es auch.

Get-VMNetworkAdapter -VM * -ComputerName ClusterNode -credential $(get-credential)
Probiere ich morgen direkt aus und werde berichten.

Danke und Gruß
Patrick
Mitglied: Doskias
Doskias 14.09.2021 um 07:53:37 Uhr
Goto Top
Stimmt. WinRM fällt raus. Habe ich grade noch einmal extra für dich getestet ;-) face-wink. Dann würde die Meldung etwa
Beim Verbinden mit dem Remoteserver "blabla" ist folgender Fehler aufgetreten: Zugriff verweigert Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".
lauten.
Mitglied: Sonny1895
Sonny1895 14.09.2021 um 10:00:36 Uhr
Goto Top
Moin zusammen,

also folgenden Befehl habe ich ausgeführt:

Get-VMNetworkAdapter -ComputerName ClusterNode -VM * -Credential $cred

Folgende Fehlermeldung:

Der Parameter "VM" kann nicht gebunden werden. Der Wert "*" vom Typ "System.String" kann nicht in den Typ "Microsoft.HyperV.PowerShell.VirtualMachine" konvertiert werden.

Dann wollte ich ihm eine VM mit Get-VM mitgeben

Get-VM -ComputerName ClusterNode -Name VM -Credential $cred | Get-VMNetworkAdapter

Fehlermeldung:

Sie besitzen nicht die erforderliche Berechtigung für diese Aufgabe. Wenden Sie sich an den Administrator der Autorisierungsrichtlinie für Computer ClusterNode


Meine vermutung ist, das irgendein RegKEy oder eine Lokale Gruppenrichtlinie nicht gesetzt ist, nur weis ich halt nicht wo ich genau suchen soll. Google hat dazu jetzt auch nicht so viele Treffer gebracht.

Gruß
Patrick
Mitglied: Cloudrakete
Cloudrakete 14.09.2021 um 10:18:49 Uhr
Goto Top
Mitglied: Sonny1895
Sonny1895 14.09.2021 um 10:54:58 Uhr
Goto Top

Hi Cloudrakete,

wenn ich den Artikel richtig lese funktioniert das Script nur bis Maximal Server 2012 R2. Zu erwähnen wäre noch das die ClusterNode mit dem OS Windows Server 2016 laufen. Trage das sofort in meiner DSokumentation nach.

Sobald ich das Script gefunden habe (Der angegebene Link in dem Artikel funktioniert nicht) werde ich es trotzdem ausprobieren :-) face-smile

Gruß
Patrick
Mitglied: erikro
erikro 14.09.2021 um 11:18:13 Uhr
Goto Top
Moin,

Zitat von @Sonny1895:

Moin zusammen,

also folgenden Befehl habe ich ausgeführt:

Get-VMNetworkAdapter -ComputerName ClusterNode -VM * -Credential $cred

Folgende Fehlermeldung:

Der Parameter "VM" kann nicht gebunden werden. Der Wert "*" vom Typ "System.String" kann nicht in den Typ "Microsoft.HyperV.PowerShell.VirtualMachine" konvertiert werden.

Frechheit. In der Doku steht:

-VM

Specifies the virtual machine whose virtual network adapters are to be retrieved. . The asterisk, "*", is the wildcard. If it is specified the cmdlet returns virtual network adapters from every virtual machine in the system.

Geht aber nicht. Sorry. Konnte ich gestern nicht ausprobieren.

Liebe Grüße

Erik
Mitglied: Sonny1895
Sonny1895 14.09.2021 um 18:15:16 Uhr
Goto Top
Nabend zusammen,

heute habe ich probiert in dem ich auf der Abfrage VM mich als Domänen Admin Anmelde.

Hat sofort funktioniert. Anscheinend gibt es da Probleme wenn der Angemeldete User ein lokaler ist und die Rechte des Domänen Admin benutzt.

Finde mich damit erst einmal ab :-) face-smile auch wenn es nicht ganz meinen Vorstellungen entspricht verschiedenen Service-Usern (Für die Abteilungen) Domänen Rechte einzuräumen.

Gruß
Patrick
Mitglied: erikro
erikro 14.09.2021 um 19:50:44 Uhr
Goto Top
Moin,

Zitat von @Sonny1895:
heute habe ich probiert in dem ich auf der Abfrage VM mich als Domänen Admin Anmelde.

Hat sofort funktioniert. Anscheinend gibt es da Probleme wenn der Angemeldete User ein lokaler ist und die Rechte des Domänen Admin benutzt.

Das ist durchaus möglich, dass das die UAC dazwischen haut. Darauf bin ich noch gar nicht gekommen. Evtl. musst Du, obwohl Du Admin bist, die PS "als Administrator" ausführen. Das hat man ja in vielen Situationen. Trotzdem bleibt es merkwürdig, dass es bei der einen klappt und bei der anderen nicht. Es sei denn ...

Bist Du bei der Aktion auf der vm1 als lokaler admin angemeldet und willst die vm2 abfragen?

Finde mich damit erst einmal ab :-) face-smile auch wenn es nicht ganz meinen Vorstellungen entspricht verschiedenen Service-Usern (Für die Abteilungen) Domänen Rechte einzuräumen.

Keine Ahnung, welche Rechte der User braucht. Aber sowas kann man eigentlich immer recht feinkörnig einstellen, so dass die eingeschränkten User nur genau das dürfen, was die können müssen.

Liebe Grüße

Erik
Heiß diskutierte Beiträge
general
DSL-Modems am F-Buchse statt N-Buchse - warum?Windows10GegnerVor 22 StundenAllgemeinDSL, VDSL19 Kommentare

Hallo zusammen, es sind jetzt hier die Fernmeldetechniker gefragt. Normalerweise wird ja ein DSL-Modem mit der F-Buchse einer TAE-NFN-Dose verbunden. Was ist der genau Grund ...

general
Autodesk im Jahre 2021-2022dertowaVor 1 TagAllgemeinOff Topic4 Kommentare

Hallo zusammen, mal eine kleine Anekdote, u.a. da heute Freitag ist. Vor einigen Jahren hatte ich mit Autodesk AutoCAD LT zu tun, in der damaligen ...

general
Außergewöhnliche hohe Spamaktivitäten und Angriffe per E-Mail gelöst beidermachtvongreyscullVor 1 TagAllgemeinE-Mail5 Kommentare

Tach Kollegen, liegt das an den bevorstehenden Wahlen? Ich beobachte seit Tagen auf unserer Firewall, dass wir massiven Spamwellen ausgesetzt sind. Bisher kommt zum Glück ...

question
Einrichtung Unify Security Gateway gelöst markaurelVor 18 StundenFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen und bitte um eure Hilfe! Wie der Titel schon sagt Folgende Situation: Ich hab ein Netzwerk in folgenden IP-Bereich: 192.168.10.x. Als Gateway dient ...

question
Backup-Server, welcher sich selber sichertludakuVor 1 TagFrageBackup6 Kommentare

Moin Zusammen Stellen wir uns kurz folgendes Konstrukt vor: 1x Hypervisor mit 3 VMs: - DC & Fileserver - Webserver - Acronis Backup-Server Ist es ...

question
Sysprep nachträglich virtualisierenalf008Vor 1 TagFrageVmware6 Kommentare

Hallo, ich habe diverse physikalische Server virtualisiert und später sollten diese in eine neue Domäne aufgenommen werden. Leider habe ich beim Virtualisieren erst später (zu ...

question
Wlanprobleme nach Providerwechsel gelöst amsti70Vor 1 TagFrageRouter & Routing8 Kommentare

Hallo alle zusammen! Ich bin neu auf dieser Seite und komme gleich mit einem Problem. Habe jetzt von A1 auf Drei Festnetz gewechselt. Mein System ...

question
Exchange Autodiscover ExternredhorseVor 1 TagFrageExchange Server5 Kommentare

Guten Morgen, bei Heise wird aktuell über eine Problematik berichtet, bei der es bei einem nicht nach Microsoft-Vorgaben konfiguriertem Autodiscover zu einem Sicherheitsproblem kommt: Konkret ...