是否有可能只委派给用户一个足够的权限才能够使用远程PowerShell会话?
我有一套有限的脚本,我想从一个中央位置运行一组使用指定服务帐户的服务器。
我不想要的是这个服务用户能够做一些事情,如login到电脑。
这可能吗? 删除login权限是否也删除了执行远程PowerShell会话的权限?
Powershell远程/ WinRM会话是networkinglogin。 因此,如果您想阻止该用户以交互方式login到计算机,请拒绝其login到控制台并拒绝通过远程桌面login的能力。 通过本地安全策略或通过组策略(如果计算机在域中)执行此操作。 这意味着用户帐户仍然能够build立Powershell远程会话,但不能以交互方式login到同一台计算机。
除了拒绝交互式login外,您可能还想限制远程用户访问暴露受限制的运行空间的远程端点 。
本质上,您可以在远程系统上configuration连接到的端点,从会话中删除所有cmdlet,并仅导出已列入白名单的cmdlet。 这也使您可以使用附加inputvalidation和日志logging来公开代理函数,而不是让远程用户“完全控制”。
这需要一些工作来build立,但最终会减less远程用户偶然发生事故的可能性。
这与PowerShell v5“JEA”模块(Just-Enough-Admin)使用的方法相同,但是可以实现从版本3.0开始的约束运行空间