我需要一些一般性建议以及特定的工具/产品来帮助实现客户 Windows 机器管理的自动化。
环境如下:
我们为客户提供一台 Windows 机器,他们可以完全控制管理员帐户。我们有一个辅助登录名,它是管理员组的成员,但没有管理员密码。他们的机器可能是域控制器,也可能只是在自己的工作组中。2008 机器启用了 UAC(我无法更改这一点)。我们有串行控制台访问权限,我们可以使用辅助帐户登录。我们从 Linux 进行所有管理,所有脚本都运行在我们的后端系统上,我们可以从那里登录控制台并访问数据库。
所以我的问题是,有时我需要做一些事情,比如将文件复制到他们的机器上并安装新软件。目前,我编写 Python 脚本来从我们的数据库中提取数据、通过串行控制台登录、发送一堆命令、安装中央共享并从中复制文件等。在 Windows 2003 上这不是什么大问题,但在 Windows 2008 上 UAC 会妨碍我们 - 我们最终只能手动完成这些事情。
我希望自动化在 2003 和 2008 中能够完全相同地工作。我希望在需要时完全控制它们的盒子,而无需访问管理员帐户,无需 RDP,也无需使用任何类型的 GUI。
这可能吗?你以前遇到过类似这样的限制吗?
谢谢!
答案1
除非您有权访问本地管理员帐户(并且必须是管理员如果您的帐户是独立服务器的“域管理员”帐户,或者您的帐户是域成员的域管理员组的成员,那么您无法抑制 UAC 行为,除非您将其完全关闭,但这并不是一个好主意。
如果您有权访问管理员帐户或域管理员帐户,那么您应该能够通过修改“用户帐户控制:管理员批准模式下管理员提升权限提示的行为”GPO 来模拟 Windows 2003 中看到的大多数行为,以启用自动提升权限而无需提示。此设置的详细信息可以在这里找到。
有一些信息Windows 7 中的自动提升其中大部分也适用于 Windows 2008。这是您想要触发的机制,以确保您执行的命令可以在需要时调用管理员权限,即使启用了上述“自动提升而不提示”设置,如果您需要执行某些需要只有管理令牌才可用的权限的操作,仍然需要触发该机制。