我有一堆PowerShell脚本调用外部程序来执行某些操作(没有选择)。我试图找到一种方法来允许用户使用委托来连接到受约束的远程会话,以便将这些脚本(和外部二进制文件)作为特权帐户运行,而无需用户能够使用特权帐户执行二进制文件
我发现如果我使用NoLanguage和RestrictedRemoteSession限制端点,或者使用启动脚本删除对系统中那些因为无法执行而破坏脚本的部分的访问权限二进制文件。
是否有可能使这项工作,或者我是否必须将现有脚本重写为DLL cmdlet,然后可以调用外部二进制文件(或者只在DLL中编写代理命令来进行调用)?
答案 0 :(得分:0)
创建没有触发器的计划任务,将它们配置为以特权用户身份运行,让受限制的用户从任务计划程序启动它们。
答案 1 :(得分:0)
您正在寻找JEA或Just Enough Admin。它完全符合您尝试使用受限制的端点。
从视频开始。 Jeffery Snover可能会为您提供解决方案所需的详细信息,因为他逐步解释了JEA是如何构建的。