我是从Windows SysInternals论坛的帖子中读到的。
HKCU - hive key current user - 将指向该用户的hive密钥,该密钥在psexec的帮助下在远程计算机上进行了身份验证。它不会指向以交互方式登录到计算机桌面的用户的配置单元密钥,除非两个帐户碰巧相同。
我在尝试将与自签名证书关联的签名者和证书推送到Windows注册表中的签名到远程计算机的用户的HKEY_CURRENT_USER / Software / Microsoft / SystemCertificates / Root / Certificates文件夹时面临同样的问题。
如果与PsExec一起使用的用户标识和密码与当前登录到远程计算机的用户相同,则一切正常。 PKCU注册表项按预期添加。
由于我们无法向每个最终用户询问他们的AD密码,因此当我们两个帐户不相同时,我正在尝试解决这个问题。我有一个Windows服务帐户,该帐户在域名中的所有PC上具有管理员权限,我正在尝试将证书和签名者推送到。如果我在psexec中使用该帐户,则不会为登录到远程PC的用户添加注册表项。
当两个帐户不相同时,我是否可以使用psexec写入HKEY_CURRENT_USER?也就是说,当与psexec命令一起使用的帐户不是当前登录到远程PC的帐户时。
示例:
用户remoteuser登录到我们要将证书条目安装到HKCU配置单元的远程PC上,但我们使用不同的用户/帐户和psexec。我们这样做是因为我们不知道我们想要更新HKCU配置单元的所有远程用户的AD密码。 那将是一个严重的安全问题。
在此示例中,我们使用psexecuser帐户在AD用户remoteuser登录的远程PC上启动psexec服务。
C:\ psexec @C:\ remoteUserPCList.txt -u ourdomain \ psexecuser -p psececuserpassword -d -c -f C:\ InstallSSLCertinHKCU.bat
不会为远程PC上的remoteuser帐户添加HKCU注册表项。
任何适用于psexec的修复都将是一个很大的帮助。我怀疑我们可以使用AD GPO,但我希望有一些可以与PsExec一起使用的技巧。
问候
答案 0 :(得分:1)
psexec无法模拟已登录的用户。但是,您无需将自签名证书推送到远程计算机上的用户配置文件,您可以将其推送到计算机帐户,甚至可以使用group policy执行此操作。