Powershell脚本添加证书并绑定到IIS-权限问题

Question

我们正在尝试以编程方式向IIS上的站点添加新的SSL证书和新的绑定。 我们使用powershell脚本来实现这一点，并且它与服务器上本地管理员的用户可以很好地工作。 问题是，我们不能让Web服务器上的本地管理员用户在生产环境中运行此应用程序。 这将违反公司政策。 我想知道我的用户必须具备的最低权限才能执行此操作。 这两个命令是我现在被阻止的地方。

## Does nothing but no error. Works fine if I use my admin user.
Import-PfxCertificate -FilePath $path  cert:\localMachine\WebHosting\ -Password $mypwd -Exportable

## Give me : Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))
$newbinding = Get-WebBinding -Name $site -IPAddress $ip -Port 443 -Protocol "HTTPS" -HostHeader $hostheader 
$newbinding.AddSslCertificate("$thumbprint", "WebHosting")

我很难找到需要什么权限/配置的明确答案。 在Cant之前以编程方式将绑定添加到IIS之前，我遇到了同样的问题-redirection.config权限（带有视频！） 。 现在它仍然不起作用，但不是相同的错误。

谢谢

Answer 1

如果要说的是要在IIS服务器上远程运行此程序，则针对许多cmdlet设计的PoSH要求执行命令的用户位于目标主机本地管理组中。 无法绕开该要求。

现在，所有这些，为什么您需要一个特定的用户来运行它，而不是使用具有必需特权的计划任务集来执行脚本？

您也可以考虑利用PoSH JEA进行此类工作。 它不能免除管理员凭据的需要，但只会临时授予它们。

足够的管理：Windows PowerShell安全控件有助于保护企业数据

Windows管理框架5.0现在包含的最新更新就是足够管理（JEA），它是一项安全技术，可以通过限制IT管理权限来帮助组织实施信息安全。 JEA提供了一种实用的，基于角色的方法来设置和自动化对IT人员的限制，并降低了与为用户提供完全管理权限相关的风险。

JEA使用Windows PowerShell脚本环境的内置功能。 您可以使用PowerShell进行管理的任何内容，都可以更安全地使用JEA进行管理。 与传统的访问控制模型相比，JEA提供了减少管理访问权限的标准化方法。

JEA允许特定用户在指定的服务器上执行指定的管理任务，而无需授予他们完整的管理员权限。 JEA基于Windows PowerShell约束的运行空间，这是Microsoft用来帮助保护Microsoft Exchange Online等环境中的管理任务安全的技术。

https://msdn.microsoft.com/zh-CN/library/dn896648.aspx

使用JEA

本主题描述了可以连接和使用JEA端点的各种方式。

要交互使用JEA，您需要：•要连接的计算机的名称（可以是本地计算机）•在该计算机上注册的JEA端点的名称•可以访问JEA端点的计算机的凭据

https://docs.microsoft.com/zh-CN/powershell/jea/using-jea