Ограничьте учетную запись пользователя 'только' удаленными сессиями Powershell
Действительно ли возможно только делегировать достаточно полномочия для пользователя только смочь использовать Удаленную сессию Powershell?
У меня есть ограниченный набор скриптов, которые я хочу запустить от центрального расположения против ряда серверов с помощью обозначенной сервисной учетной записи.
То, что я не хочу, - чтобы этот пользователь услуги смог сделать вещи как вход в систему компьютера.
Действительно ли это возможно? Удаление права войти в систему также удаляют право выполнить Удаленную сессию Powershell?
Сеанс Powershell Remoting / WinRM - это вход в сеть. Поэтому, если вы хотите запретить этому пользователю входить в систему на компьютере в интерактивном режиме, запретите ему или ей возможность входа в консоль и запретите возможность входа через удаленный рабочий стол. Сделайте это либо с помощью локальной политики безопасности, либо с помощью групповой политики, если компьютер находится в домене. Это означает, что учетная запись пользователя по-прежнему сможет установить сеанс удаленного взаимодействия Powershell, но не сможет войти на тот же компьютер в интерактивном режиме.
Помимо запрета интерактивного входа в систему, вы можете захотеть ограничить доступ удаленных пользователей к удаленной конечной точке , которая предоставляет ограниченное пространство выполнения .
] По сути, вы настраиваете конечную точку в удаленной системе, которая при подключении удаляет все командлеты из сеанса и экспортирует только командлеты, которые вы занесли в белый список. Это также позволяет вам предоставлять прокси-функции с дополнительной проверкой ввода и журналированием, вместо того, чтобы предоставлять удаленному пользователю «полный контроль».
Это требует некоторой работы для настройки, но в конечном итоге снижает вероятность того, что удаленный пользователь что-то сломает случайно.
Это тот же подход, который используется модулем PowerShell v5 "JEA" (Just-Enough-Admin) , но вы можете реализовать ограниченные пространства выполнения, начиная с версии 3.0