Benutzer mit den meisten Antworten
Start-Process RunAs in Invoke-Command mit domain/admin privilegien, Zugriff verweigert

Frage
-
Guten Tag Technet
Ich habe eine kleine PS-Function geschrieben welche eine exe auf einem Remote PC als Domänen-Administrator und RunAs Berechtigungen installiert/ausführt.
Blöderweise kann die Function jedoch den "Start-Process" der exe nicht ausführen, da der Zugriff verweigert wird, obwohl ich nicht mehr Admin sein kann, als ich schon bin (RunAs und domain/admin).
Auch wenn ich als exe "powershell.exe" hartcodiert hinschreibe, erhalte ich den gleichen Fehler. Wieso habe ich keinen Zugriff auf die exe?
Ich habe noch ein "whoami" eingebaut um sicher zu sein, dass ich sicher der domänen-admin bin, was mir der Output von whoami auch bestätigt.
Die ACL der exe stimmen auch komplett (domänen-admins vollzugriff)
Hier die Function, der Aufruf und der Output:
function Install-Exe {
param(
[string[]]$ComputerName,
[string]$exepath,
[string[]]$exeargs
)
$Admin = "domain\admin"
$PW = Read-Host "Enter Adminsystem Password" -AsSecureString
$cred = New-Object System.Management.Automation.PSCredential -argumentlist $Admin, $PW
foreach ($c in $ComputerName) {
Invoke-Command -ComputerName $c -Credential $cred -ArgumentList $cred,$exepath,$exeargs {
param($cred,$exepath,$exeargs)
whoami
if (!$exeargs) { Start-Process $exepath -Verb RunAs }
else { Start-Process $exepath -verb RunAs -argumentlist $exeargs }
}
}}PS C:\Windows\System32\WindowsPowerShell\v1.0> Install-exe -ComputerName mko -exepath "\\server\install$\Software\Setup_unattended.exe"
domain\admin
Dieser Befehl kann aufgrund des folgenden Fehlers nicht ausgeführt werden: Zugriff verweigert.
+ CategoryInfo : InvalidOperation: (:) [Start-Process], InvalidOperationException
+ FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.StartProcessCommand
+ PSComputerName : mko
Danke und Grüsse
Simon
Antworten
-
Falls du hier zwischenzeitlich nicht weitergekommen bist: ist das Problem auf diesen einen PC beschränkt (geht es wenn du das Ziel mit einem anderen, vergleichbaren Client ersetzt?)?
JA: finde raus was dort anders ist oder setzt das Ding neu auf (je nachdem was in eurer Umgebung schneller geht)
NEIN (Problem existiert auf anderen Clients auch): ist ziemlich sicher ein Rechteproblem. Schau mal hier: Link
Blog: http://bytecookie.wordpress.com
Neu: Powershell Code Manager v5 ! (Link)
(u.a.: erstellt interaktive Grafiken aus Script Funktionen, z.b. für Dokumentation)
Hilf mit und markiere hilfreiche Beiträge mit dem "Abstimmen"-Button (links) und Beiträge die eine Frage von dir beantwortet haben, als "Antwort" (unten).
Warum das Ganze? Hier gibts die Antwort.
- Bearbeitet Denniver ReiningMVP, Moderator Donnerstag, 30. Juni 2016 14:47
- Als Antwort markiert Denniver ReiningMVP, Moderator Dienstag, 5. Juli 2016 22:03
Alle Antworten
-
> ausführen, da der Zugriff verweigert wird, obwohl ich nicht mehr Admin> sein kann, als ich schon bin (RunAs und domain/admin).Hm - "whoami /groups" wäre aussagefähiger als nur "whoami" - StichwortUAC und FilterAdministratorToken.> der domänen-admin bin, was mir der Output von whoami auch bestätigt.Ja - der User. Aber bist Du auch Mitglied von "Administrators"? :-)
-
Läuft das Script lokal auf dem Ziel(!)- Pc, wenn du dort mit dem gleichen Account angemeldet bist, mit dem du das Script ausführen willst?
Blog: http://bytecookie.wordpress.com
Hilf mit und markiere hilfreiche Beiträge mit dem "Abstimmen"-Button (links) und Beiträge die eine Frage von dir beantwortet haben, als "Antwort" (unten).
Warum das Ganze? Hier gibts die Antwort.
-
Hallo Zusammen
Sorry, ich war eine Woche im Urlaub und habe auch nicht ins Technet geschaut.
Ich habe das ganze mal mit whoami /groups durchlaufen lassen, weiss jedoch nicht Recht wie ich den Output verstehen soll. sagt der Output, in welchen lokalen Gruppen der verwendete Account ist? Was meinst du mit FilterAdministratorToken? Muss man noch irgendetwas mitgeben, oder im UAC etwas einstellen?
Ja, ich bin Mitglied der Gruppe Administratoren, da ich einen Domänen-Admin Account nehme. Die Gruppe Domänen-Administratoren ist bei all unseren Maschinen in der Gruppe "Administratoren"
gruss
Simon -
Hallo Denniver
Ja, wenn ich das Invoke-Command cmdlet rauslösche dann schon, ansonsten wird der Zugriff auf den Remote-PC (welcher in dem Fall mein lokaler PC ist) verweigert (WinRM ist aufgesetzt, funktioniert auch überall perfekt, ausser scheinbar wenn man bei sich selber einen Command invoket?) Der Fehler ist aber definitiv schon beim verbinden zum PC in diesem Fall, und nicht beim Zugriff auf die exe, was mein Hauptproblem ist.
gruss
Simon
-
Falls du hier zwischenzeitlich nicht weitergekommen bist: ist das Problem auf diesen einen PC beschränkt (geht es wenn du das Ziel mit einem anderen, vergleichbaren Client ersetzt?)?
JA: finde raus was dort anders ist oder setzt das Ding neu auf (je nachdem was in eurer Umgebung schneller geht)
NEIN (Problem existiert auf anderen Clients auch): ist ziemlich sicher ein Rechteproblem. Schau mal hier: Link
Blog: http://bytecookie.wordpress.com
Neu: Powershell Code Manager v5 ! (Link)
(u.a.: erstellt interaktive Grafiken aus Script Funktionen, z.b. für Dokumentation)
Hilf mit und markiere hilfreiche Beiträge mit dem "Abstimmen"-Button (links) und Beiträge die eine Frage von dir beantwortet haben, als "Antwort" (unten).
Warum das Ganze? Hier gibts die Antwort.
- Bearbeitet Denniver ReiningMVP, Moderator Donnerstag, 30. Juni 2016 14:47
- Als Antwort markiert Denniver ReiningMVP, Moderator Dienstag, 5. Juli 2016 22:03