私はWindowsServer 2016(ワークグループ)に取り組んでおり、PowerShellリモート処理を有効にしています。デフォルトの管理者アカウントのみが、次のような管理者権限を必要とするタスクを実行できます。
Get-Service
Get-DnsServerZone
そうすると、access denied
エラーが発生します。 PowerShellを使用してリモートで接続し、get-process
などの操作を実行できます。
備考:作成したユーザーに関係なく(はい、管理者グループに追加します)。リモート管理ユーザーにも追加しました。 Hyper-VサンドボックスVMで実行しますが、本番サーバーでは機能しません。PSSessionConfigurationのSDDLアクセス許可に特定のユーザーSIDを追加して修正しようとしましたが、修正されませんでした。どちらも機能しません。これがPSSessionConfigurationです(使用したユーザー名はdespot
で、サーバー名はphantom12
です)
Name : Microsoft.powershell
PSVersion : 5.1
StartupScript :
RunAsUser :
Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
Management Users AccessAllowed, phantom12\despot AccessAllowed
Name : Microsoft.powershell.workflow
PSVersion : 5.1
StartupScript :
RunAsUser :
Permission : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed, phantom12\despot
AccessAllowed
Name : Microsoft.powershell32
PSVersion : 5.1
StartupScript :
RunAsUser :
Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, BUILTIN\Remote
Management Users AccessAllowed
Name : Microsoft.windows.servermanagerworkflows
PSVersion : 3.0
StartupScript :
RunAsUser :
Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed, phantom12\despot
AccessAllowed
これは、WSMANサービスセクションで変更したSDDL文字列です(追加したSIDは、グループではなくユーザーSIDです)
O:NSG:BAD:P(A;;GA;;;LA)(A;;GA;;;BA)(A;;GA;;;S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
イライラするのは、VMを使用してアクセス許可を変更することはできますが、本番サーバーでは機能せず、Windowsを再インストールしたくないということです。追加したのに管理者グループに追加されません。
よろしくお願いします!
この動作は仕様によるものです ただし、レジストリ設定を変更することで無効にできます。
に
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DWORD
値LocalAccountTokenFilterPolicy
を検索または作成し、1に設定します。その後、再起動が必要になる場合があります。
これにより、リモート接続(Powershellリモーティングを含む)に無制限の管理者アクセスを許可し、UACを完全にオフにするという望ましくない副作用を発生させません。