%20%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
まず、私の限界は次のとおりです。
- バッチ ファイルから PSExec と Netuse を実行しています。
- 現在ログインしているユーザーとは別のユーザーとして実行する必要があります。サーバー管理者はデスクトップ管理者ではなく、その逆も成り立つという厳格な権限スキームがあります。バッチ ファイルをサーバー管理者として実行しており、ターゲット マシンでデスクトップ管理者の資格情報を使用する必要があります。
- 制限ではなく、単なる注意です。私は、必要なアカウントの両方を完全に制御し、アクセスできます。
- ヘッドレスである必要があり、パスワードの入力を求めるポップアップを表示することはできません。
現在の使用法は、-uおよび-pフラグ (/userネット使用用) を使用することで機能しますが、セキュリティ担当者が私のパスワードがプレーン テキストで記録されているのを見せて、非常に驚きました。このような状況になる可能性があると認識しておくべきでした。私はすべてを非対話型に保つための措置を講じており、パスワードをプレーン テキストで保存したことはありませんが、もちろんログには記録されています。
これを実行する方法はありますか? コマンドをログに記録したいのですが、セキュリティ上の大きなリスクがある場合はそうしたくないです。
通常の解決策は、スクリプトを昇格されたユーザーとして実行し、すべてのコマンドをそのユーザーとして実行することです。ただし、デスクトップ管理者として実行すると、権限の障害により、サーバー上でスクリプトをまったく実行できません。サーバー管理者として実行すると、すべてのリモート試行が拒否されます。