Restringir conta de usuário a 'somente' sessões remotas do Powershell

2

É possível delegar apenas permissões suficientes para um usuário apenas poder utilizar uma sessão do Remote Powershell?

Eu tenho um conjunto limitado de scripts que quero executar de um local central em um conjunto de servidores que usam uma conta de serviço designada.

O que eu não quero é que esse usuário do serviço possa fazer coisas como fazer login em um computador.

Isso é possível? A remoção do direito de login também remove o direito de executar uma sessão do Remote Powershell?

    
por mhouston100 02.04.2015 / 02:30

2 respostas

4

Uma sessão do Powershell Remoting / WinRM é um logon de rede. Portanto, se você quiser evitar que o usuário efetue login em um computador de forma interativa, negue a ele a capacidade de fazer logon no console e negar a capacidade de fazer logon pela Área de Trabalho Remota. Faça isso por meio da diretiva de segurança local ou da Diretiva de Grupo, se o computador estiver em um domínio. Isso significa que a conta de usuário ainda poderá estabelecer uma sessão do Powershell Remoting, mas não poderá fazer logon no mesmo computador interativamente.

    
por 02.04.2015 / 03:26
4

Além de negar logons interativos, convém restringir o acesso de usuários remotos a um endpoint remoto que expõe um runspace restrito .

Essencialmente, você configura um ponto de extremidade no sistema remoto que, quando conectado, remove todos os cmdlets da sessão e exporta somente os cmdlets que você listou na lista branca. Isso também permite que você exponha funções de proxy com validação de entrada e log adicionais, em vez de dar ao usuário remoto "controle total".

Requer algum trabalho para configurar, mas no final diminui a chance de que o usuário remoto quebre algo por acidente.

É a mesma abordagem usada pelo módulo PowerShell v5 "JEA" (Just-Enough-Admin), mas você pode implementar runspaces restritos a partir da versão 3.0

    
por 02.04.2015 / 12:53