Удаљени приступ ВинРМ-у без административних права

Подразумевано морате имати администраторске привилегије да бисте се даљински повезали са рачунаром помоћу програма ПоверСхелл (ПоверСхелл Ремотинг). У овом ћемо чланку показати како уз помоћ групе за сигурност, групне политике и промјену ПоСх дескриптора осигурати права на везу путем ПоверСхелл Ремотинга (ВинРМ) за обичне кориснике без административних права.

Када покушавате да направите ПоверСхелл сесију са удаљеним рачунаром од стране редовног корисника (Ентер-ПССессион мск-сервер1), појављује се грешка у приступу:

Ентер-ПССессион: Повезивање са удаљеним сервером мск-сервер1 није успело са следећом поруком о грешци: Приступ је одбијен.

Садржај:

  • Удаљени приступ ВинРМ-у и групи корисника даљинског управљања
  • Дескриптор сигурности сесије ПоверСхелл
  • Хипер-В Ремоте Манагемент такође захтева ВинРМ права

Удаљени приступ ВинРМ-у и групи корисника даљинског управљања

Проверите стандардна дозвола за ПоСх сесију:

(Гет-ПССессионЦонфигуратион -Наме Мицрософт.ПоверСхелл). Дозвола

Као што видимо, дозвољен је приступ за следеће уграђене групе:

  • БУИЛТИН \ Администратори - АццессАлловед,
  • БУИЛТИН \ Корисници даљинског управљања - АццессАлловед

Дакле, да би се корисник могао даљински повезати путем ВинРМ-а, довољно му је да буде члан уграђене локалне безбедносне групе администратора Даљински Менаџмент Корисници (група је створена у систему почевши од ПоверСхелл 4.0, који је подразумевано доступан у Виндовс 8 / Виндовс Сервер 2012 и новијим). Ова група такође пружа приступ ВМИ ресурсима путем контролних протокола (на пример, ВС-Манагемент)

Потребни корисник може бити укључен у групу путем прикључка за управљање рачунаром:

или помоћу команде:

нет лоцалгроуп "Корисници даљинског управљања" / адд аапетров2

У случају да такав приступ треба одобрити на многим рачунарима, можете користити групну политику. Да бисте то учинили, доделите ГПО потребним рачунарима и полису Конфигурација рачунара -> Поставке оперативног система Виндовс -> Подешавања сигурности -> Групе с ограничењем додајте нове групекод корисника даљинског управљања и укључите у њу рачуне или групе којима треба одобрити приступ ВинРМ-у.

Након што се корисник укључи у групу Корисници даљинског управљања, он ће моћи да креира удаљену сесију ПоверСхелл користећи Ентер-ПССессион или извршава наредбе користећи Инвоке-Цомманд. Права корисника у овој сесији биће ограничена његовим правима на машини.

Проверите да ли даљинска веза функционише.

Дескриптор сигурности сесије ПоверСхелл

Други начин да се кориснику брзо да право да користи ПоверСхелл Ремотинг без укључивања у локалну безбедносну групу за кориснике даљинског управљања је измена безбедносног дескриптора тренутне сесије Мицрософт.ПоверСхелл на локалном рачунару. Ова метода ће вам омогућити да брзо (до следећег поновног покретања) појединим корисницима дате право на даљинско повезивање путем ПоверСхелл-а.

Следећа наредба отвара листу тренутних дозвола:

Сет-ПССессионЦонфигуратион -Наме Мицрософт.ПоверСхелл -сховСецуритиДесцрипторУИ

У овом дијалошком оквиру морате додати корисника или групу и доделити му права Екецуте (Инвоке).

Након што сачувате измене, систем ће затражити потврду да поново покрене ВинРМ сервис.

У случају да морате аутоматски променити безбедносни дескриптор (без ГУИ-ја), промене ћете прво морати извршити ручно, а затим набавити тренутни дескриптор приступа у СДДЛ формату.

(Гет-ПССессионЦонфигуратион -Наме "Мицрософт.ПоверСхелл"). СецуритиДесцрипторСДДЛ

У нашем примеру, команда је вратила кваку

О: НСГ: БАД: П (А;; ГА;;; БА) (А;; ГКСГР;;; С-1-5-21-2373142251-3438396318-2932294317-23761992) (А ;; ГА ;;; РМ ) С: П (АУ; ФА; ГА;;; ВД) (АУ; СА; ГКСГВ;;; ВД)

Тада можете користити ову СДДЛ линију за омогућавање приступа ПоверСхелл-у на било којем другом серверу..

$ СДДЛ = „О: НСГ: БАД: П (А;; ГА;; БА) (А;; ГКСГР ;;; С-1-5-21-2373142251-3438396318-2932294317-23761992) (А ;; ГА ;;; РМ) С: П (АУ; ФА; ГА;;; ВД) (АУ; СА; ГКСГВ;;; ВД) "
Сет-ПССессионЦонфигуратион -Наме Мицрософт.ПоверСхелл -СецуритиДесцрипторСддл $ СДДЛ

Хипер-В Ремоте Манагемент такође захтева ВинРМ права

У Виндовс 10 / Виндовс Сервер 2016, протокол ПоверСхелл Ремотинг коришћен је за даљинско повезивање са Хипер-В сервером помоћу Хипер-В Манагер-а. Стога, даљински корисници који нису администратори неће моћи управљати Хипер-В сервером, чак и ако имају дозволе у ​​Хипер-В.

Када се покушавате повезати на Хипер-В сервер са рачунара са системом Виндовс 10 под уобичајеним корисником, појављује се грешка.

Дошло је до грешке приликом покушаја повезивања на сервер „сервер1“, проверите да ли се покреће услуга управљања виртуелним машинама и да ли сте овлашћени да се повежете са сервером.

Да бисте омогућили даљинско повезивање с конзолом, само додајте Хипер-В корисника у локалну групу корисника даљинског управљања на исти начин..