PS: Remote Abfragen mit lokalem User

[Kuddel071089 9]

Hallo zusammen,

 

ich wprde gerne per Powershell Skript alle unsere Windows Server abfragen, um z.B. die Uptime oder andere Infos aufzulisten.

 

Ein User, der permanent auf allen Hosts Zugriff hat, ist ja eher unschön.

 

Da wir LAPS inplementiert haben, würde ich jetzt versuchen, den lokalen Admin zu verwenden.

 

Das Auswerten des LAPS PS funktioniert, die Anmeldung leider nicht.

 

Beispiel:

cls
Import-Module AdmPwd.PS
$computer = "Test-Server"
$username = "$computer\Inspector"
$password = (Get-AdmPwdPassword -ComputerName $computer).Password
Write-Output "Found Password: $password"
$cred = new-object -typename System.Management.Automation.PSCredential -argumentlist $username,$($password | ConvertTo-SecureString -asPlainText -Force)
$FQDN= $computer + ".******.local"
Invoke-Command -ComputerName $FQDN -ScriptBlock { Get-ChildItem C:\ } -credential $cred -UseSSL -Authentication Negotiate

 

Fehler:

[Test-Server] Beim Verbinden mit dem Remoteserver "VNTS010" ist folgender Fehler aufgetreten: Der Client kann keine Verbindung mit dem in der Anforderung angegebenen Ziel herstellen. Stellen Sie 
sicher, dass der Dienst auf dem Ziel ausgeführt wird und die Anforderungen akzeptiert. Lesen Sie die Protokolle und die Dokumentation für den WS-Verwaltungsdienst, der auf dem Ziel ausgeführt 
wird. Hierbei handelt es sich meistens um IIS oder WinRM. Wenn das Ziel der WinRM-Dienst ist, führen Sie den folgenden Befehl auf dem Ziel aus, um den WinRM-Dienst zu analysieren und zu 
konfigurieren: "winrm quickconfig". Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".
    + CategoryInfo          : OpenError: (Test-Server:String) [], PSRemotingTransportException
    + FullyQualifiedErrorId : CannotConnect,PSSessionStateBroken

 

Kann jemand helfen ?

Oder kann man auch irgendwie temp. AD-Berechtigungen zuweisen und nach der Abfrage wieder entfernen ?

[BOfH_666 577]

Wenn es sich um eine Windows-Domäne handelt, würde ich dringend empfehlen, einen Account zu benutzen, der in der AD-Gruppe ist, die Mitglied der lokalen Administratoren auf den Servern ist.  Ohne wirklich Erfahrung damit zu haben, bin ich bisher davon ausgegangen, dass LAPS eher für Clients gemacht war - nicht für Server.  

 

 

[Sunny61 806]

Kannst Du die Daten denn auch mit einem 'normalen' Benutzer auslesen? Wenn ja, dann einen eigenen User dafür erstellen. Evtl. eine geplante Aufgabe erstellen, die die Daten lokal erzeugt und sie dann in eine CSV, Datenbank oder wohin auch immer speichert. Das ganze per GPO/GPP ausrollen, dann vergisst Du auch keinen Server und die Daten kommen immer zu dir.

[BOfH_666 577]

Von Deinen Zugriffsproblemen mal abgesehen, gibt es für solche Aufgaben schon mehr als ausreichend Beispiele im Netz. Du brauchst das Rad also nicht neu erfinden.

 

Im einfachsten Fall erhältst Du viele der üblichen/wichtigen Informationen über ein Windows-Computer-System mit einem einzigen Befehl:

Get-ComputerInfo

 

[Kuddel071089 9]

vor 54 Minuten schrieb Sunny61:

Kannst Du die Daten denn auch mit einem 'normalen' Benutzer auslesen? Wenn ja, dann einen eigenen User dafür erstellen. Evtl. eine geplante Aufgabe erstellen, die die Daten lokal erzeugt und sie dann in eine CSV, Datenbank oder wohin auch immer speichert. Das ganze per GPO/GPP ausrollen, dann vergisst Du auch keinen Server und die Daten kommen immer zu dir.

 

Der Ansatz könnte klappen. Ich werde mal einen lokalen User ohne Admin Rechte erstellen, der die lokalen Infos auswertet und in eine CSV schreibt. Diese CSV wird dann iwo zentral abgelegt und wenn alle CSV für jeden Server erstellt sind, alphabetisch abgearbeitet und in einer CSV zusammengefasst.

 

Nachteil ist wahrscheinlich nur, dass der lokalen User überall das gleiche PW hat, sonst wird es kompliziert mit dem Task per GPO

[BOfH_666 577]

vor 25 Minuten schrieb Kuddel071089:

Ich werde mal einen lokalen User ohne Admin Rechte erstellen, der die lokalen Infos auswertet und in eine CSV schreibt.

 

Das könnte auch der System-Account machen. Wenn Du dem "Server" Schreibrechte auf die zentrale Freigabe gewährst, brauchst Du an den Server quasi nix zusätzliches erstellen.   

bearbeitet 17. September 2021 von BOfH_666

[Kuddel071089 9]

vor 2 Minuten schrieb BOfH_666:

 

Das könnte auch der System-Account machen. Wenn Du dem "Server" Schreibrechte auf die zentrale Freigabe gewährst, brauchst Du an den Server quasi nix zusätzliches erstellen.   

Du meinst den lokalen User "SYSTEM" ? Das wäre natürlich noch besser

[BOfH_666 577]

vor 2 Minuten schrieb Kuddel071089:

Du meinst den lokalen User "SYSTEM" ?

 

Den meinte ich, ja.    Der hat lokal sowieso ALLE Rechte, die man eventuell brauchen könnte. Er bräuchte halt nur zusätzlich das Schreibrecht auf einem zentralen Share. Oder Du sammelst die Dateien von den einzelnen Servern mit einem Account ein, der das darf. Es gibt so viele Möglichkeiten, wie man an dieses Thema rangehen kann ...............    

[Kuddel071089 9]

Gerade eben schrieb BOfH_666:

 

Den meinte ich, ja.    Der hat lokal sowieso ALLE Rechte, die man eventuell brauchen könnte. Er bräuchte halt nur zusätzlich das Schreibrecht auf einem zentralen Share. Oder Du sammelst die Dateien von den einzelnen Servern mit einem Account ein, der das darf. Es gibt so viele Möglichkeiten, wie man an dieses Thema rangehen kann ...............    

 

Da nehme ich lieber SYSTEM, von dem einen Account will ich gerade weg

[Sunny61 806]

Genau, SYSTEM nehmen und auf der Freigabe und in den NTFS-Brerechtigungen den Domänen Computern, denn genau das sind sie, Schreibrechte erteilen.

 

BTW: Ich meinte übrigens keinen lokalen User, sondern einen Domänen User.

[NorbertFe 2.034]

Gerade eben schrieb Sunny61:

den Domänen Computern, denn genau das sind sie, Schreibrechte erteilen.

Die würd ich in dem Fall vermutlich nicht nehmen, weil das auch alle PCs treffen würde. 

[Sunny61 806]

Gerade eben schrieb NorbertFe:

Die würd ich in dem Fall vermutlich nicht nehmen, weil das auch alle PCs treffen würde. 

Stimmt, wenn es nur um Server geht, dann natürlich weiter einschränken. ;)

[Kuddel071089 9]

Gerade eben schrieb Sunny61:

Stimmt, wenn es nur um Server geht, dann natürlich weiter einschränken. ;)

 

Es bekommen nur die Server Zugriff auf die Freigabe, die einen Report schreiben sollen

[NorbertFe 2.034]

Hoffentlich nicht als freigabeberechtigung 

[Kuddel071089 9]

Die ersten Tes funzen so halb.

Den Task habe ich per GPO erstellt mit dem User SYSTEM.

 

Auf die Freigabe dürfen nur die Computer schreiben,

 

Ich würde das Skirpt jetzt gern zentral, am besten in der GPO speichern. Wenn das Skript im SysVol unter \\DOMÄNE\SYSVOL\DOMÄNE\Policies\GPO-NAME\Machine liegt, tut sich nichts.

 

Zum Test habe ich das Skript direkt auf dem Test-Server auf C:\ gespeichert, dann geht es.