O grupo Usuários no Administradores não pode executar tarefas administrativas com o PowerShell

Navegue suas respostas
3

Estou trabalhando no Windows Server 2016 (grupo de trabalho) e habilitei o remoting do powershell nele. Somente a conta de administrador padrão pode executar tarefas que exigem permissão administrativa, como 

Get-Service
Get-DnsServerZone

e quando eu faço isso eu recebo o access denied erro. Eu posso conectar-me remotamente com o powershell e fazer algumas coisas como get-process e assim por diante.

observações: não importa qual usuário eu crie (e sim Eu os adiciono ao grupo de administradores). Eu também adicionei a usuários de gerenciamento remoto também. Eu faço isso com minha VM de sandbox do Hyper-V, mas isso simplesmente não funciona no meu servidor de produção. Eu também tentei corrigi-lo adicionando um usuário específico SID na permissão SDDL em PSSessionConfiguration, mas também não funcionou. Aqui está a PSSessionConfiguration (o nome de usuário que usei é despot e o nome do servidor é phantom12 ) 

Name          : microsoft.powershell
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
                Management Users AccessAllowed, phantom12\despot AccessAllowed

Name          : microsoft.powershell.workflow
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed, phantom12\despot
                AccessAllowed

Name          : microsoft.powershell32
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
                Management Users AccessAllowed

Name          : microsoft.windows.servermanagerworkflows
PSVersion     : 3.0
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, phantom12\despot
                AccessAllowed

e aqui está a string SDDL que eu modifiquei na Seção de Serviço do WSMAN (o SID que eu adicionei é o SID do usuário e não o seu Grupo) 

O:NSG:BAD:P(A;;GA;;;LA)(A;;GA;;;BA)(A;;GA;;;S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)

o mais frustrante é que posso fazê-lo com minha VM e alterar as permissões, mas não funciona no meu servidor de produção e não quero reinstalar o Windows. é simplesmente como se eles não tivessem sido adicionados ao grupo de administradores, embora eu os tenha adicionado.

Obrigado a todos antecipadamente!

    
por Peyman 17.11.2018 / 15:56

1 resposta

3

Esse comportamento é por design, mas pode ser desativado alterando uma configuração do registro.

Em 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

encontre ou crie o DWORD value LocalAccountTokenFilterPolicy e configure-o para 1. Você pode então precisar reinicializar.

Isso permitirá que conexões remotas (incluindo o controle remoto Powershell) tenham acesso irrestrito de administrador, sem os indesejáveis efeitos colaterais de desligar o UAC.

    
por 20.11.2018 / 01:17

Tags

Nosql autoscaling de computação Falha no atalho do Active Directory ao criar