Powershell - Invoke доступ к команде запрещен, хотя не работает под учетной записью администратора домена

Question

Я использую скрипт для создания папки на удаленном сервере, который является файловым сервером и контроллером домена только для чтения. Когда я запускаю скрипт от администратора домена, команда успешно завершена. Когда я запускаю учетную запись, которая находится в группе, которая может управлять контроллером домена только для чтения, мне отказали в доступе.

$remotefolder = [scriptblock]::create("New-Item -Path d:\testfolder -type directory -Force ") 
Invoke-Command -ComputerName server1 -ScriptBlock $remotefolder 

Я получаю эту ошибку:

[server1] Connecting to remote server server1 failed with the following error message : Access is denied. 
For more information, see the about_Remote_Troubleshooting Help topic. 
    + CategoryInfo   : OpenError: (server1:String) [], PSRemotingTransportException 
    + FullyQualifiedErrorId : AccessDenied,PSSessionStateBroken 

Как что это RODC нет никаких местных групп, которые я могу добавить пользователей, которые необходимо запустить этот сценарий.

Кто-нибудь знает, как я могу прекратить получение этого доступа?

Обновление 12/12: Я пробовал один и тот же блок сценариев на сервере члена домена, и я не получаю сообщение об отказе доступа, папка создается так, как должна. Какие бывают проблемы с тем, как я могу получить этот блок сценариев, работающий на RODC, без использования администратора домена?

Answer 1

Вы, вероятно, следует читать на PSSessionConfiguration, прежде чем это сделать, так что вы понимаете последствия, начиная с

help about_Session_Configurations 

Во-первых, создать доменную группу под названием 'RODC PowerShell пользователей. Поместите себя в это, дождитесь повторения, выйдите и снова включите. Убедитесь, что вы находитесь в этой группе.

Во-вторых, от повышенной оболочки на RODC, выполните следующее:

Set-PSSessionConfiguration microsoft.powershell -ShowSecurityDescriptorUI 

(. После первого, времени вы, вероятно, хотите использовать -Force, но это полезно, чтобы увидеть, что он делает) Hit Y когда его попросят подтвердить.

Через несколько секунд он будет отображать пользовательский интерфейс для разрешений http://schemas.microsoft.com/powershell/microsoft.powershell

Нажмите кнопку Добавить, введите имя группы в диалоговом окне и нажмите кнопку OK.

В поле «Разрешения на доступ к RODC PowerShell Remoting Access», начиная с чтения и выполнения. (Возможно, вам потребуется Write или Full Control, в зависимости от того, что вы хотите сделать.) Нажмите «ОК».

Затем введите Y в окне PowerShell, чтобы подтвердить, что вы хотите перезапустить WinRM.

С удаленного ящика, если вы уже настроили Remoting на RODC, теперь вы должны иметь возможность запускать:

Invoke-Command -ComputerName server1 { $env:computername }