Jump to content

PS: Remote Abfragen mit lokalem User


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich wprde gerne per Powershell Skript alle unsere Windows Server abfragen, um z.B. die Uptime oder andere Infos aufzulisten.

 

Ein User, der permanent auf allen Hosts Zugriff hat, ist ja eher unschön.

 

Da wir LAPS inplementiert haben, würde ich jetzt versuchen, den lokalen Admin zu verwenden.

 

Das Auswerten des LAPS PS funktioniert, die Anmeldung leider nicht.

 

Beispiel:

cls
Import-Module AdmPwd.PS
$computer = "Test-Server"
$username = "$computer\Inspector"
$password = (Get-AdmPwdPassword -ComputerName $computer).Password
Write-Output "Found Password: $password"
$cred = new-object -typename System.Management.Automation.PSCredential -argumentlist $username,$($password | ConvertTo-SecureString -asPlainText -Force)
$FQDN= $computer + ".******.local"
Invoke-Command -ComputerName $FQDN -ScriptBlock { Get-ChildItem C:\ } -credential $cred -UseSSL -Authentication Negotiate

 

Fehler:

[Test-Server] Beim Verbinden mit dem Remoteserver "VNTS010" ist folgender Fehler aufgetreten: Der Client kann keine Verbindung mit dem in der Anforderung angegebenen Ziel herstellen. Stellen Sie 
sicher, dass der Dienst auf dem Ziel ausgeführt wird und die Anforderungen akzeptiert. Lesen Sie die Protokolle und die Dokumentation für den WS-Verwaltungsdienst, der auf dem Ziel ausgeführt 
wird. Hierbei handelt es sich meistens um IIS oder WinRM. Wenn das Ziel der WinRM-Dienst ist, führen Sie den folgenden Befehl auf dem Ziel aus, um den WinRM-Dienst zu analysieren und zu 
konfigurieren: "winrm quickconfig". Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".
    + CategoryInfo          : OpenError: (Test-Server:String) [], PSRemotingTransportException
    + FullyQualifiedErrorId : CannotConnect,PSSessionStateBroken

 

Kann jemand helfen ?

Oder kann man auch irgendwie temp. AD-Berechtigungen zuweisen und nach der Abfrage wieder entfernen ?

Link zu diesem Kommentar

Wenn es sich um eine Windows-Domäne handelt, würde ich dringend empfehlen, einen Account zu benutzen, der in der AD-Gruppe ist, die Mitglied der lokalen Administratoren auf den Servern ist.  Ohne wirklich Erfahrung damit zu haben, bin ich bisher davon ausgegangen, dass LAPS eher für Clients gemacht war - nicht für Server. ;-) 

 

 

Link zu diesem Kommentar

Kannst Du die Daten denn auch mit einem 'normalen' Benutzer auslesen? Wenn ja, dann einen eigenen User dafür erstellen. Evtl. eine geplante Aufgabe erstellen, die die Daten lokal erzeugt und sie dann in eine CSV, Datenbank oder wohin auch immer speichert. Das ganze per GPO/GPP ausrollen, dann vergisst Du auch keinen Server und die Daten kommen immer zu dir.

Link zu diesem Kommentar
vor 54 Minuten schrieb Sunny61:

Kannst Du die Daten denn auch mit einem 'normalen' Benutzer auslesen? Wenn ja, dann einen eigenen User dafür erstellen. Evtl. eine geplante Aufgabe erstellen, die die Daten lokal erzeugt und sie dann in eine CSV, Datenbank oder wohin auch immer speichert. Das ganze per GPO/GPP ausrollen, dann vergisst Du auch keinen Server und die Daten kommen immer zu dir.

 

Der Ansatz könnte klappen. Ich werde mal einen lokalen User ohne Admin Rechte erstellen, der die lokalen Infos auswertet und in eine CSV schreibt. Diese CSV wird dann iwo zentral abgelegt und wenn alle CSV für jeden Server erstellt sind, alphabetisch abgearbeitet und in einer CSV zusammengefasst.

 

Nachteil ist wahrscheinlich nur, dass der lokalen User überall das gleiche PW hat, sonst wird es kompliziert mit dem Task per GPO

Link zu diesem Kommentar
vor 25 Minuten schrieb Kuddel071089:

Ich werde mal einen lokalen User ohne Admin Rechte erstellen, der die lokalen Infos auswertet und in eine CSV schreibt.

 

Das könnte auch der System-Account machen. Wenn Du dem "Server" Schreibrechte auf die zentrale Freigabe gewährst, brauchst Du an den Server quasi nix zusätzliches erstellen.  ;-) 

bearbeitet von BOfH_666
Link zu diesem Kommentar
vor 2 Minuten schrieb Kuddel071089:

Du meinst den lokalen User "SYSTEM" ?

 

Den meinte ich, ja.  ;-)  Der hat lokal sowieso ALLE Rechte, die man eventuell brauchen könnte. Er bräuchte halt nur zusätzlich das Schreibrecht auf einem zentralen Share. Oder Du sammelst die Dateien von den einzelnen Servern mit einem Account ein, der das darf. Es gibt so viele Möglichkeiten, wie man an dieses Thema rangehen kann ...............  ;-) :D 

Link zu diesem Kommentar
Gerade eben schrieb BOfH_666:

 

Den meinte ich, ja.  ;-)  Der hat lokal sowieso ALLE Rechte, die man eventuell brauchen könnte. Er bräuchte halt nur zusätzlich das Schreibrecht auf einem zentralen Share. Oder Du sammelst die Dateien von den einzelnen Servern mit einem Account ein, der das darf. Es gibt so viele Möglichkeiten, wie man an dieses Thema rangehen kann ...............  ;-) :D 

 

Da nehme ich lieber SYSTEM, von dem einen Account will ich gerade weg

Link zu diesem Kommentar

Die ersten Tes funzen so halb.

Den Task habe ich per GPO erstellt mit dem User SYSTEM.

 

Auf die Freigabe dürfen nur die Computer schreiben,

 

Ich würde das Skirpt jetzt gern zentral, am besten in der GPO speichern. Wenn das Skript im SysVol unter \\DOMÄNE\SYSVOL\DOMÄNE\Policies\GPO-NAME\Machine liegt, tut sich nichts.

 

Zum Test habe ich das Skript direkt auf dem Test-Server auf C:\ gespeichert, dann geht es.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...