我正在寻找在第二跳出现的情况下实施WinRM的最安全方式。具体来说,我想从任意但单一的管理机器运行脚本,并使用单个特定管理用户的传递凭证在所有工作站上启动远程会话。那些远程会话需要能够第二跳到文件服务器上的特定共享,以访问适当的资源。 我知道CredSSD非常弱,所以我正在寻找更好的东西。 Richard Siddaway提到" AD为基础的代表团" here,但我发现的有关委托的最佳信息来自MS here,并且所有委托选项都说"不支持WinRM的第二跳"。那么,有没有一种安全的方法可以通过Active Directory为单个指定的用户或组启用第二跳?理想情况下,我希望限制第二跳到JUST指定的第三个服务器/共享,并且仅限于指定的用户或组。因此,使用不同凭证的任何远程会话都不能进行第二跳,并且正确的凭证不能第二跳到其他资源。这甚至是遥不可及的吗?
答案 0 :(得分:0)
PowerShell Remoting Kerberos Double Hop安全解决
您是否面临PowerShell远程处理和凭据的问题?您 远程进入你的跳箱,然后任何远程进入你的跳远 大红色ACCESS DENIED。也许你已经尝试过CredSSP,但人们会说 不安全阅读今天的帖子,了解完全合法,安全,安全, 以及为PowerShell远程处理启用Kerberos双跃点的简便方法。
多跳PowerShell远程处理的另一种解决方案
我发现了另一种解决方案,解决了两次跳跃问题 PowerShell远程处理,我在搜索中无处可见 互联网。我确信有些人知道这件事,但事实并非如此 似乎广为人知。