none
Start-Process RunAs in Invoke-Command mit domain/admin privilegien, Zugriff verweigert RRS feed

  • Frage

  • Guten Tag Technet

    Ich habe eine kleine PS-Function geschrieben welche eine exe auf einem Remote PC als Domänen-Administrator und RunAs Berechtigungen installiert/ausführt.

    Blöderweise kann die Function jedoch den "Start-Process" der exe nicht ausführen, da der Zugriff verweigert wird, obwohl ich nicht mehr Admin sein kann, als ich schon bin (RunAs und domain/admin).

    Auch wenn ich als exe "powershell.exe" hartcodiert hinschreibe, erhalte ich den gleichen Fehler. Wieso habe ich keinen Zugriff auf die exe?

    Ich habe noch ein "whoami" eingebaut um sicher zu sein, dass ich sicher der domänen-admin bin, was mir der Output von whoami auch bestätigt.

    Die ACL der exe stimmen auch komplett (domänen-admins vollzugriff)

    Hier die Function, der Aufruf und der Output:

    function Install-Exe {
    param(
        [string[]]$ComputerName,
        [string]$exepath,
        [string[]]$exeargs
    )
    $Admin = "domain\admin"
    $PW = Read-Host "Enter Adminsystem Password" -AsSecureString
    $cred = New-Object System.Management.Automation.PSCredential -argumentlist $Admin, $PW
    foreach ($c in $ComputerName) {
        Invoke-Command -ComputerName $c -Credential $cred -ArgumentList $cred,$exepath,$exeargs {
            param($cred,$exepath,$exeargs)
                whoami
            if (!$exeargs) { Start-Process $exepath -Verb RunAs }
            else { Start-Process $exepath -verb RunAs -argumentlist $exeargs }
        }
    }}

    PS C:\Windows\System32\WindowsPowerShell\v1.0> Install-exe -ComputerName mko -exepath "\\server\install$\Software\Setup_unattended.exe"
    domain\admin
    Dieser Befehl kann aufgrund des folgenden Fehlers nicht ausgeführt werden: Zugriff verweigert.
        + CategoryInfo          : InvalidOperation: (:) [Start-Process], InvalidOperationException
        + FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.StartProcessCommand
        + PSComputerName        : mko
     

    Danke und Grüsse

    Simon

    Freitag, 17. Juni 2016 11:40

Antworten

  • Falls du hier zwischenzeitlich nicht weitergekommen bist: ist das Problem auf diesen einen PC beschränkt (geht es wenn du das Ziel mit einem anderen, vergleichbaren Client ersetzt?)?
    JA: finde raus was dort anders ist oder setzt das Ding neu auf (je nachdem was in eurer Umgebung schneller geht)
    NEIN (Problem existiert auf anderen Clients auch): ist ziemlich sicher ein Rechteproblem. Schau mal hier: Link

    Grüße, Denniver
     


    Blog: http://bytecookie.wordpress.com

    Neu: Powershell Code Manager v5 ! (Link)
    (u.a.: erstellt interaktive Grafiken aus Script Funktionen, z.b. für Dokumentation)

    Hilf mit und markiere hilfreiche Beiträge mit dem "Abstimmen"-Button (links) und Beiträge die eine Frage von dir beantwortet haben, als "Antwort" (unten).
    Warum das Ganze? Hier gibts die Antwort.




    Donnerstag, 30. Juni 2016 14:46
    Moderator

Alle Antworten

  • > ausführen, da der Zugriff verweigert wird, obwohl ich nicht mehr Admin
    > sein kann, als ich schon bin (RunAs und domain/admin).
     
    Hm - "whoami /groups" wäre aussagefähiger als nur "whoami" - Stichwort
    UAC und FilterAdministratorToken.
     
    > der domänen-admin bin, was mir der Output von whoami auch bestätigt.
     
    Ja - der User. Aber bist Du auch Mitglied von "Administrators"? :-)
     
    Freitag, 17. Juni 2016 12:20
  • Läuft das Script lokal auf dem Ziel(!)- Pc, wenn du dort mit dem gleichen Account angemeldet bist, mit dem du das Script ausführen willst?

    Blog: http://bytecookie.wordpress.com

    Hilf mit und markiere hilfreiche Beiträge mit dem "Abstimmen"-Button (links) und Beiträge die eine Frage von dir beantwortet haben, als "Antwort" (unten).
    Warum das Ganze? Hier gibts die Antwort.

    Sonntag, 19. Juni 2016 11:30
    Moderator
  • Hallo Zusammen

    Sorry, ich war eine Woche im Urlaub und habe auch nicht ins Technet geschaut.

    Ich habe das ganze mal mit whoami /groups durchlaufen lassen, weiss jedoch nicht Recht wie ich den Output verstehen soll. sagt der Output, in welchen lokalen Gruppen der verwendete Account ist? Was meinst du mit FilterAdministratorToken? Muss man noch irgendetwas mitgeben, oder im UAC etwas einstellen?

    Ja, ich bin Mitglied der Gruppe Administratoren, da ich einen Domänen-Admin Account nehme. Die Gruppe Domänen-Administratoren ist bei all unseren Maschinen in der Gruppe "Administratoren"

    gruss
    Simon

    Montag, 27. Juni 2016 06:01
  • Hallo Denniver

    Ja, wenn ich das Invoke-Command cmdlet rauslösche dann schon, ansonsten wird der Zugriff auf den Remote-PC (welcher in dem Fall mein lokaler PC ist) verweigert (WinRM ist aufgesetzt, funktioniert auch überall perfekt, ausser scheinbar wenn man bei sich selber einen Command invoket?) Der Fehler ist aber definitiv schon beim verbinden zum PC in diesem Fall, und nicht beim Zugriff auf die exe, was mein Hauptproblem ist.

    gruss

    Simon

    Montag, 27. Juni 2016 06:07
  • Falls du hier zwischenzeitlich nicht weitergekommen bist: ist das Problem auf diesen einen PC beschränkt (geht es wenn du das Ziel mit einem anderen, vergleichbaren Client ersetzt?)?
    JA: finde raus was dort anders ist oder setzt das Ding neu auf (je nachdem was in eurer Umgebung schneller geht)
    NEIN (Problem existiert auf anderen Clients auch): ist ziemlich sicher ein Rechteproblem. Schau mal hier: Link

    Grüße, Denniver
     


    Blog: http://bytecookie.wordpress.com

    Neu: Powershell Code Manager v5 ! (Link)
    (u.a.: erstellt interaktive Grafiken aus Script Funktionen, z.b. für Dokumentation)

    Hilf mit und markiere hilfreiche Beiträge mit dem "Abstimmen"-Button (links) und Beiträge die eine Frage von dir beantwortet haben, als "Antwort" (unten).
    Warum das Ganze? Hier gibts die Antwort.




    Donnerstag, 30. Juni 2016 14:46
    Moderator