RDS Verwaltungsrechte Systemkonto

[Mr_Marple 15]

Hallo!

 

Auf einem Terminalserver lasse ich ein Skript unter dem Systemkonto laufen, welches das PS Modul RemoteDesktop verwendet.

Genauer gesagt handelt es sich um Set-RDCertificate.

Klappt alles wunderbar.

 

Lasse ich das Skript aber auf einem DC & RDS laufen, bekomme ich "Zugriff verweigert".

"whoami /all" ist auf beiden ident.

Was muss ich hier beachten, damit das funktioniert?

 

Wenn es geht, würde ich gerne saved credentials vermeiden, um das Skript auszuführen.

 

LG

[Dukel 457]

UAC?

 

Wieso saved Credentials? Musst du das regelmäßig oder Automatisch laufen lassen?

Was macht dieses Script?

[Mr_Marple 15]

Hallo!

 

Ich erneuere mit "certify the web" die Let's Encrypt Zertifikate.

Certify the Web läuft als Dienst mit dem System Konto, es führt auch das PS Skript damit aus.

Es läuft danach als Task, um das neue Zertifikat am Terminalserver per Set-RDCertificate zu aktivieren.

 

Am nicht DC geht es, am DC nicht.

Habe das mittels psexec als System User manuell ausprobiert, um das zu verifizieren.

 

Ich könnte vermutlich auch den CTW Dienst mit einem Domainadmin laufen lassen, aber das finde ich auch nicht so sexy.

[MurdocX 957]

Jetzt machst du mich neugierig, warum man auf einem DC ein Lets Encrypt Zertifikat braucht.

 

Sei dir immer bewusst, dass das auszuführen Skript gegen Änderungen geschützt sein sollte, sonst legt man sich hier ein Ei.

[Dukel 457]

Ich hoffe dein DC ist kein RDS Host.

[djmaker 95]

Am 27.2.2021 um 12:02 schrieb Dukel:

Ich hoffe dein DC ist kein RDS Host.

 

In der Problembeschreibung steht - ja.

[Mr_Marple 15]

@djmaker Mitarbeitsplus, setzen. 

 

Ja der eine RDS Host ist auch ein DC.

 

@MurdocX Der Skriptpfad ist über NTFS Rechte geschützt.

[chrismue 99]

vor 2 Minuten schrieb Mr_Marple:

Ja der eine RDS Host ist auch ein DC

Warum macht man das ?

 

Gruß

chrismue

[testperson 1.728]

vor 13 Minuten schrieb chrismue:

Warum macht man das ?

Traurigerweise weil man es (mittlerweile wieder) kann.

[Mr_Marple 15]

Euer Offtopic Tratsch ist ja nett, hilft mir aber leider nicht weiter. 

[Dukel 457]

Doch. Die Info, dass ein DC kein RDS Host sein sollte.

[Mr_Marple 15]

Sollte, ja.

Das ist aber Erstens etwas, das ich nicht beeinflussen kann.

Und Zweitens in einer Mikro 1 Server Umgebung vermutlich nicht so gravierend, wie in einer größeren Landschaft.

Und Drittens, hat es nichts mit meiner Frage zu tun und hilft mir somit nicht weiter. Deshalb auch OT.

 

Sollte, hätte, würde, müsste...

 

Sind wohl keine Tipps zu erwarten, dann nehme ich eben saved credentials.

 

LG

[djmaker 95]

[OT] früher gab es mal bat2exe, duck und wech [/OT]

[Mr_Marple 15]

Gibt es auch für die PS, aber ich denke das Problem wird dadurch auch nicht gelöst. Aber einen Versuch ist es Wert.

Falls es klappt, melde ich mich.