“O acesso ao registro solicitado não é permitido.” Powershell

Navegue suas respostas
1

Estou tentando encontrar o tamanho do banco de dados de DC, que está localizado no serviço NTDS. Meu script é: 

$Computer = "abe.com"
$Reg = [Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey('LocalMachine', $computer)     

$RegKey=$Reg.OpenSubKey("SYSTEM\CurrentControlSet\services\NTDS\Parameters" 
$NTDSPath = $Regkey.GetValue("DSA Database file") 
$NTDSREMOTEPath =  "\$computer\$NTDSPath" -replace ":","$" 
$NTDSREMOTEPath = Get-item $NTDSREMOTEPath | Select-Object -ExpandProperty Length 

($NTDSREMOTEPath /1GB).ToString("0.000"+" GB")

Depois de executar isso, recebi um erro: 

Exception calling "OpenSubKey" with "1" argument(s): "Requested registry access is not allowed."
At C:\Users\Documents\HealthCheck\hardwareMonitoring.ps1:40 char:1
+ $RegKey= $Reg.OpenSubKey("SYSTEM\CurrentControlSet\services\NTDS\Parameters" ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [], MethodInvocationException
    + FullyQualifiedErrorId : SecurityException

You cannot call a method on a null-valued expression.
At C:\Users\Documents\HealthCheck\hardwareMonitoring.ps1:41 char:1
+ $NTDSPath = $Regkey.GetValue("DSA Database file")
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [], RuntimeException
    + FullyQualifiedErrorId : InvokeMethodOnNull

Get-item : Cannot find path '\abc.com\' because it does not exist.
At C:\Users\Documents\HealthCheck\hardwareMonitoring.ps1:43 char:19
+ $NTDSREMOTEPath = Get-item $NTDSREMOTEPath | Select-Object -ExpandProperty Lengt ...
+                   ~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (\abc.com\:String) [Get-Item], ItemNotFoundE 
   xception
    + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetItemCommand

Percebi que minha conta não tem permissão suficiente para consultar esse caminho no regedit SYSTEM\CurrentControlSet\services\NTDS\Parameters .

Eu decidi fazer o login em "abc.com" e adicionei minha conta com full control e read direitos. O que eu fiz foi, clique com o botão direito em Parameter escolha permissions e adicione minha conta em.

Voltei a executar o script novamente. Eu tenho o mesmo erro!

Funciona com a conta de administrador. Quero executar a consulta sem usar uma conta de administrador de domínio.

Qual é o motivo neste caso? Muito obrigado!

    
por Ender 20.11.2017 / 15:58

1 resposta

1

Etapa 1.

Atribuindo permissões a uma chave do registro

  1. Clique na chave que você deseja atribuir permissões.
  2. No menu Editar, clique em Permissões.
  3. Clique no grupo ou nome de usuário com o qual você deseja trabalhar.
  4. Atribua um dos seguintes níveis de acesso à chave: Selecione a caixa de seleção Permitir para

Leia para dar permissão para ler o conteúdo da chave, mas não salve as alterações. Selecione a caixa de seleção Permitir para Controle total para dar permissão para abrir, editar e apropriar-se da chave.

  1. Para conceder permissão especial na chave, clique em Clique em Avançado e, em seguida, clique duas vezes no usuário ou grupo que você deseja atribuir acesso especial. Em Permissões, selecione o Permitir ou a caixa de seleção Negar para cada permissão que você deseja permitir ou negar.

Etapa 2.

Controlador de domínio do Windows Server 2003

  1. Abra o editor de política de grupo
  2. Navegue até, Política do computador local > Configuração do Computador > Políticas > Configurações do Windows > Configurações de segurança > Serviços do sistema
  3. No painel direito, localize Registro remoto
  4. Defina a política e defina o tipo de inicialização como Automático
  5. eboot os clientes para aplicar a política

Windows Server 2008 ou controlador de domínio mais recente

  1. Abra o editor de política de grupo
  2. Expanda Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Serviços do sistema
  3. Localize o item Registro Remoto e altere o modo de inicialização do Serviço para Automático
  4. Reinicialize os clientes para aplicar a política

Etapa 3.

Abrir o Editor de Diretiva de Grupo Local Configuração do Computador - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Opções de segurança - > Propriedades de acesso à rede: caminhos de registro e sub-caminhos remotamente acessíveis - > Na aba Local Policies Setting, adicione seus sub-caminhos do Registro que você deseja consultar

Por exemplo: System\CurrentControlSet\Control\ContentIndex

    
por 25.11.2017 / 22:36

Tags

Não é possível conectar-se ao membro do farm ADFS não primário Como transformar meu Windows Server 2016 em um servidor de arquivos remoto