将用户帐户限制为“仅”远程 Powershell 会话

Question 1

Powershell Remoting/WinRM 会话是网络登录。因此，如果您想阻止该用户登录计算机交互式地，拒绝他或她登录控制台的能力，并拒绝通过远程桌面登录的能力。通过本地安全策略或组策略（如果计算机在域中）执行此操作。这意味着用户帐户仍然能够建立 Powershell 远程会话，但无法以交互方式登录同一台计算机。

Answer

Powershell Remoting/WinRM 会话是网络登录。因此，如果您想阻止该用户登录计算机交互式地，拒绝他或她登录控制台的能力，并拒绝通过远程桌面登录的能力。通过本地安全策略或组策略（如果计算机在域中）执行此操作。这意味着用户帐户仍然能够建立 Powershell 远程会话，但无法以交互方式登录同一台计算机。

Question 2

除了拒绝交互式登录之外，您可能还希望限制远程用户访问远程端点暴露了一个受限的运行空间。

本质上，你在远程系统上配置一个端点，当连接到该端点时，它会从会话中删除所有 cmdlet 并导出仅有的您已列入白名单的 cmdlet。这还允许您使用附加的输入验证和日志记录来公开代理功能，而不是让远程用户“完全控制”。

它需要一些工作来设置，但最终会减少远程用户意外破坏某些东西的可能性。

它与 PowerShell v5“JEA”模块（Just-Enough-Admin）使用的方法相同，但你可以从 3.0 版开始实现受限运行空间

Answer

除了拒绝交互式登录之外，您可能还希望限制远程用户访问远程端点暴露了一个受限的运行空间。

本质上，你在远程系统上配置一个端点，当连接到该端点时，它会从会话中删除所有 cmdlet 并导出仅有的您已列入白名单的 cmdlet。这还允许您使用附加的输入验证和日志记录来公开代理功能，而不是让远程用户“完全控制”。

它需要一些工作来设置，但最终会减少远程用户意外破坏某些东西的可能性。

它与 PowerShell v5“JEA”模块（Just-Enough-Admin）使用的方法相同，但你可以从 3.0 版开始实现受限运行空间

将用户帐户限制为“仅”远程 Powershell 会话

答案1

答案2

相关内容