我有一个托管PowerShell约束端点的服务器,端点作为服务帐户运行(OurDomain \ DoTransfer)。选择此方法是因为端点内的功能需要读取\写入各种远程文件共享和本地目录的权限。我们不希望将这些提升的权限授予将调用端点的用户。
在开发过程中,我们将DoTransfer添加到托管端点的服务器上的本地管理员组,一切正常。
现在,作为加强端点以保持我们的安全团队满意的一部分,我正在尝试找到DoTransfer运行端点的最小权限(在主机服务器上)。
首先,我尝试将DoTransfer从本地\ admins中取出(因此不在任何本地组中),然后通过Invoke-Command调用测试函数。这是通过import-module的访问被拒绝异常(端点调用import-module来加载包含我们代码的自定义模块)。
第二次我将DoTransfer添加到本地用户并重复测试,该测试也因导入模块的访问被拒绝而失败。
第三我将DoTransfer添加回本地\ admins,测试工作正常。
那么有人知道DoTransfer在主机服务器上运行约束端点所需的最低权限吗?
答案 0 :(得分:0)
原来,服务帐户(OurDomain \ DoTransfer)不需要添加到任何本地组。 问题是DoTransfer对包含支持Constrained EndPoint的PowerShell模块的文件夹需要读取\执行权限