я пытаюсьнастроить GPO для развертывания скрипта PowerShellчто позволило использовать WinRM с HTTPS на самоподписанном SSL-сертификате.
Я знаю, что есть два способавыполнить скрипт PowerShell при запуске компьютера:
- создатьнемедленная задачакоторый запускает программу спуть:
C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe
,аргументы:-ExecutionPolicy Bypass -command "& \\unc\path\to\PowerShellScript.ps1"
, учетная запись пользователя: ДОМЕН\Система, изапускается независимо от того, вошел ли пользователь в систему или нет,запустить с наивысшими привилегиямииприменить один раз и не применять повторноконфигурации включены - создайте скрипт PowerShell запуска из
\\unc\path\to\PowerShellScript.ps1
или\\my.domain.local\SysVol\my.domain.local\Policies\{policy}\Machine\Scripts\Startup\PowerShellScript.ps1
Если я не ошибаюсь, для второго варианта необходимо настроить политику выполнения PowerShell следующим образом:неограниченныйно это то, чего я бы предпочел избежать.
Итак, я попробовал первый вариант, но, к сожалению,Я получаю следующую ошибкукогда тестовый клиент Windows 10 пытается запустить скрипт:
Log Name: Application
Source: Group Policy Scheduled Tasks
Date: 12/26/2020 6:53:33 PM
Event ID: 4098
Task Category: (2)
Level: Warning
Keywords: Classic
User: SYSTEM
Computer: testclient.my.domain.local
Description:
The computer 'Enable WinRM HTTPS Listener' preference item in the 'Abilita WinRM HTTPS {3EC930E8-0627-4018-BD81-175250762BEE}' Group Policy Object did not apply because it failed with error code '0x80070534 No mapping between account names and security IDs was done.' This error was suppressed.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Group Policy Scheduled Tasks" />
<EventID Qualifiers="34305">4098</EventID>
<Level>3</Level>
<Task>2</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2020-12-26T17:53:33.033401100Z" />
<EventRecordID>13395</EventRecordID>
<Channel>Application</Channel>
<Computer>testclient.my.domain.local</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data>computer</Data>
<Data>Enable WinRM HTTPS Listener</Data>
<Data>Abilita WinRM HTTPS {3EC930E8-0627-4018-BD81-175250762BEE}</Data>
<Data>0x80070534 No mapping between account names and security IDs was done.</Data>
</EventData>
</Event>
Если я не ошибаюсь, эта ошибка действительно общая, и я не могу понять, что происходит. Я думаю, что локальная SYSTEM
учетная запись компьютера не может получить доступ к \\unc\path\to\PowerShellScript.ps1
, но я не могу понять, как я могу разрешить ей доступ к нему, какАнонимный доступ к сетевым путям теперь недоступен в Windows 10по умолчанию(и я предпочитаю не включать его).
Итак, теперь я в замешательстве и пытаюсь выяснить, как действовать дальше:
- как вы думаете, первый вариант (немедленная задача) лучше второго (стартовый сценарий)?
- знаете ли вы другой способ сделать то, что мне нужно?
- Знаете ли вы, что может быть причиной этой
0x80070534
ошибки? - Есть ли у вас еще идеи/советы?
Спасибо!