为域用户启用WinRM

Question

是否可以为域用户启用winrm连接？我有一个自动化脚本，它使用winrm连接到远程机器。winrm连接与域用户名和密码的工作方式与管理员帐户不同。是否有任何必须启用的设置使域用户能够通过WinRM访问计算机？

地形自动化(vsphere)

Answer 1

有两种方法(我知道)可以实现这一点。

首先(最简单)，您可以向特定范围的seuciry组“远程管理用户”组中添加所需的帐户(如果希望访问域控制器，则添加域组；如果希望访问成员服务器或工作站，则添加本地组)。

或者，您可以注册一个新的PS会话配置(寄存器-PSSessionConfiguration --一个我不会进入的进程)，或者修改现有默认PSSessionConfiguration，Microsoft.Powershell，(集-PSSessionConfiguration)的ACL。

要修改现有配置，可以通过运行以下命令使用SDDL GUI：

Set-PSSessionConfiguration -Name Microsoft.Powershell -ShowSecurityDescriptorUI

这将弹出一个熟悉的安全对话框来修改ACL。根据您想要做的事情，您必须相应地调整权限。这必须在每个端点上手动重复。

或者，如果要将更改脚本化到多个端点，则可以使用SDDL字符串。根据您对SDDL语法的熟悉程度，这可能会更具有挑战性，但它将允许您轻松地“部署”更改。

Set-PSSessionConfiguration -Name Microsoft.Powershell -SecurityDescriptorSddl "O:NSG:BAD:P(A;;GA;;;BA)(A;;GA;;;RM)(A;;GXGR;;;S-1-5-21-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXXX)(A;;GA;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)"

上面的SDDL转换成默认设置(在上面的图像中捕获)，并为具有读取和执行权限的AD对象添加一个条目。S-1-5-32-580是著名的SID远程管理用户组.

  <SCOPE>\Administrators:  Full Control 
  <SCOPE>\S-1-5-32-580:    Full Control 
  <SCOPE>\<Principal>:     Execute (Invoke);Read(Get,Enumerate,Subscribe)
  INTERACTIVE:             Full Control

Answer 2

也许这些链接能帮上忙。

如何使用域组策略为WinRM远程处理启用PowerShell