Jump to content

PS: Remote Abfragen mit lokalem User


Recommended Posts

Hallo zusammen,

 

ich wprde gerne per Powershell Skript alle unsere Windows Server abfragen, um z.B. die Uptime oder andere Infos aufzulisten.

 

Ein User, der permanent auf allen Hosts Zugriff hat, ist ja eher unschön.

 

Da wir LAPS inplementiert haben, würde ich jetzt versuchen, den lokalen Admin zu verwenden.

 

Das Auswerten des LAPS PS funktioniert, die Anmeldung leider nicht.

 

Beispiel:

cls
Import-Module AdmPwd.PS
$computer = "Test-Server"
$username = "$computer\Inspector"
$password = (Get-AdmPwdPassword -ComputerName $computer).Password
Write-Output "Found Password: $password"
$cred = new-object -typename System.Management.Automation.PSCredential -argumentlist $username,$($password | ConvertTo-SecureString -asPlainText -Force)
$FQDN= $computer + ".******.local"
Invoke-Command -ComputerName $FQDN -ScriptBlock { Get-ChildItem C:\ } -credential $cred -UseSSL -Authentication Negotiate

 

Fehler:

[Test-Server] Beim Verbinden mit dem Remoteserver "VNTS010" ist folgender Fehler aufgetreten: Der Client kann keine Verbindung mit dem in der Anforderung angegebenen Ziel herstellen. Stellen Sie 
sicher, dass der Dienst auf dem Ziel ausgeführt wird und die Anforderungen akzeptiert. Lesen Sie die Protokolle und die Dokumentation für den WS-Verwaltungsdienst, der auf dem Ziel ausgeführt 
wird. Hierbei handelt es sich meistens um IIS oder WinRM. Wenn das Ziel der WinRM-Dienst ist, führen Sie den folgenden Befehl auf dem Ziel aus, um den WinRM-Dienst zu analysieren und zu 
konfigurieren: "winrm quickconfig". Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".
    + CategoryInfo          : OpenError: (Test-Server:String) [], PSRemotingTransportException
    + FullyQualifiedErrorId : CannotConnect,PSSessionStateBroken

 

Kann jemand helfen ?

Oder kann man auch irgendwie temp. AD-Berechtigungen zuweisen und nach der Abfrage wieder entfernen ?

Link to post

Wenn es sich um eine Windows-Domäne handelt, würde ich dringend empfehlen, einen Account zu benutzen, der in der AD-Gruppe ist, die Mitglied der lokalen Administratoren auf den Servern ist.  Ohne wirklich Erfahrung damit zu haben, bin ich bisher davon ausgegangen, dass LAPS eher für Clients gemacht war - nicht für Server. ;-) 

 

 

Link to post

Kannst Du die Daten denn auch mit einem 'normalen' Benutzer auslesen? Wenn ja, dann einen eigenen User dafür erstellen. Evtl. eine geplante Aufgabe erstellen, die die Daten lokal erzeugt und sie dann in eine CSV, Datenbank oder wohin auch immer speichert. Das ganze per GPO/GPP ausrollen, dann vergisst Du auch keinen Server und die Daten kommen immer zu dir.

Link to post

Von Deinen Zugriffsproblemen mal abgesehen, gibt es für solche Aufgaben schon mehr als ausreichend Beispiele im Netz. Du brauchst das Rad also nicht neu erfinden.

 

Im einfachsten Fall erhältst Du viele der üblichen/wichtigen Informationen über ein Windows-Computer-System mit einem einzigen Befehl:

Get-ComputerInfo

 

Link to post
vor 54 Minuten schrieb Sunny61:

Kannst Du die Daten denn auch mit einem 'normalen' Benutzer auslesen? Wenn ja, dann einen eigenen User dafür erstellen. Evtl. eine geplante Aufgabe erstellen, die die Daten lokal erzeugt und sie dann in eine CSV, Datenbank oder wohin auch immer speichert. Das ganze per GPO/GPP ausrollen, dann vergisst Du auch keinen Server und die Daten kommen immer zu dir.

 

Der Ansatz könnte klappen. Ich werde mal einen lokalen User ohne Admin Rechte erstellen, der die lokalen Infos auswertet und in eine CSV schreibt. Diese CSV wird dann iwo zentral abgelegt und wenn alle CSV für jeden Server erstellt sind, alphabetisch abgearbeitet und in einer CSV zusammengefasst.

 

Nachteil ist wahrscheinlich nur, dass der lokalen User überall das gleiche PW hat, sonst wird es kompliziert mit dem Task per GPO

Link to post
vor 25 Minuten schrieb Kuddel071089:

Ich werde mal einen lokalen User ohne Admin Rechte erstellen, der die lokalen Infos auswertet und in eine CSV schreibt.

 

Das könnte auch der System-Account machen. Wenn Du dem "Server" Schreibrechte auf die zentrale Freigabe gewährst, brauchst Du an den Server quasi nix zusätzliches erstellen.  ;-) 

Edited by BOfH_666
Link to post
vor 2 Minuten schrieb BOfH_666:

 

Das könnte auch der System-Account machen. Wenn Du dem "Server" Schreibrechte auf die zentrale Freigabe gewährst, brauchst Du an den Server quasi nix zusätzliches erstellen.  ;-) 

Du meinst den lokalen User "SYSTEM" ? Das wäre natürlich noch besser

Link to post
vor 2 Minuten schrieb Kuddel071089:

Du meinst den lokalen User "SYSTEM" ?

 

Den meinte ich, ja.  ;-)  Der hat lokal sowieso ALLE Rechte, die man eventuell brauchen könnte. Er bräuchte halt nur zusätzlich das Schreibrecht auf einem zentralen Share. Oder Du sammelst die Dateien von den einzelnen Servern mit einem Account ein, der das darf. Es gibt so viele Möglichkeiten, wie man an dieses Thema rangehen kann ...............  ;-) :D 

Link to post
Gerade eben schrieb BOfH_666:

 

Den meinte ich, ja.  ;-)  Der hat lokal sowieso ALLE Rechte, die man eventuell brauchen könnte. Er bräuchte halt nur zusätzlich das Schreibrecht auf einem zentralen Share. Oder Du sammelst die Dateien von den einzelnen Servern mit einem Account ein, der das darf. Es gibt so viele Möglichkeiten, wie man an dieses Thema rangehen kann ...............  ;-) :D 

 

Da nehme ich lieber SYSTEM, von dem einen Account will ich gerade weg

Link to post

Genau, SYSTEM nehmen und auf der Freigabe und in den NTFS-Brerechtigungen den Domänen Computern, denn genau das sind sie, Schreibrechte erteilen.

 

BTW: Ich meinte übrigens keinen lokalen User, sondern einen Domänen User.

Link to post

Die ersten Tes funzen so halb.

Den Task habe ich per GPO erstellt mit dem User SYSTEM.

 

Auf die Freigabe dürfen nur die Computer schreiben,

 

Ich würde das Skirpt jetzt gern zentral, am besten in der GPO speichern. Wenn das Skript im SysVol unter \\DOMÄNE\SYSVOL\DOMÄNE\Policies\GPO-NAME\Machine liegt, tut sich nichts.

 

Zum Test habe ich das Skript direkt auf dem Test-Server auf C:\ gespeichert, dann geht es.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...