在 AD 域中,有一台 Windows 10“部署服务器”和 50 台其他 Windows 10 主机,我想为用户添加一种通过发出命令进行本地 GPO 更改的方法。每个用户都有自己的需求,需要根据需要进行更改(延迟几分钟)。
到目前为止,只有一些非常不靠谱的方法可以做到这一点。
就像每分钟在部署服务器上运行任务调度程序来访问工作站上用户可访问的地方一样,该任务是一个检查文件名(又称命令)的 powershell 脚本。例如,如果其中一个文件名为“Potato”,那么 powershell 将对该主机进行完全预定义的 GPO 更改。
但是,执行此操作时,部署服务器上的 SYSTEM 没有用户系统的域/本地管理员访问权限。因此,您必须为部署服务器设置一个高风险 GPO(网络访问:不允许存储网络身份验证的密码和凭据已禁用),这将允许您将域管理员的凭据保存到任务中,以便即使该管理员未登录,任务也可以运行。
所以我在这个方案中遇到了三个问题:
- 您不应禁用“不允许存储密码”
- powershell 脚本需要很长时间才能传遍许多主机。我认为不太可靠。
- 如果部署服务器忙于其他事务,那么即使这样,微小的任务也会变得不那么可靠。
是否有任何非麻烦的方法可以让用户发出“命令”,该命令将被部署服务器接收,然后执行该命令,并在用户的系统上提升权限(无需用户有任何特殊权限)?“管理员提升任务的参数化请求”