web-dev-qa-db-ja.com

Administratorsグループのユーザーは、管理者のみが実行できるPowerShellリモート処理で管理タスクを実行できません。

私はWindowsServer 2016(ワークグループ)に取り組んでおり、PowerShellリモート処理を有効にしています。デフォルトの管理者アカウントのみが、次のような管理者権限を必要とするタスクを実行できます。

Get-Service
Get-DnsServerZone

そうすると、access deniedエラーが発生します。 PowerShellを使用してリモートで接続し、get-processなどの操作を実行できます。

備考:作成したユーザーに関係なく(はい、管理者グループに追加します)。リモート管理ユーザーにも追加しました。 Hyper-VサンドボックスVMで実行しますが、本番サーバーでは機能しません。PSSessionConfigurationのSDDLアクセス許可に特定のユーザーSIDを追加して修正しようとしましたが、修正されませんでした。どちらも機能しません。これがPSSessionConfigurationです(使用したユーザー名はdespotで、サーバー名はphantom12です)

Name          : Microsoft.powershell
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
                Management Users AccessAllowed, phantom12\despot AccessAllowed

Name          : Microsoft.powershell.workflow
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed, phantom12\despot
                AccessAllowed

Name          : Microsoft.powershell32
PSVersion     : 5.1
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
                Management Users AccessAllowed

Name          : Microsoft.windows.servermanagerworkflows
PSVersion     : 3.0
StartupScript :
RunAsUser     :
Permission    : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, phantom12\despot
                AccessAllowed

これは、WSMANサービスセクションで変更したSDDL文字列です(追加したSIDは、グループではなくユーザーSIDです)

O:NSG:BAD:P(A;;GA;;;LA)(A;;GA;;;BA)(A;;GA;;;S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)

イライラするのは、VMを使用してアクセス許可を変更することはできますが、本番サーバーでは機能せず、Windowsを再インストールしたくないということです。追加したのに管理者グループに追加されません。

よろしくお願いします!

3
Peyman

この動作は仕様によるものです ただし、レジストリ設定を変更することで無効にできます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

DWORDLocalAccountTokenFilterPolicyを検索または作成し、1に設定します。その後、再起動が必要になる場合があります。

これにより、リモート接続(Powershellリモーティングを含む)に無制限の管理者アクセスを許可し、UACを完全にオフにするという望ましくない副作用を発生させません

4
Harry Johnston