[英]Powershell script to add certificate and binding to IIS - permissions problems
我們正在嘗試以編程方式向IIS上的站點添加新的SSL證書和新的綁定。 我們使用powershell腳本來實現這一點,並且它與服務器上本地管理員的用戶可以很好地工作。 問題是,我們不能讓Web服務器上的本地管理員用戶在生產環境中運行此應用程序。 這將違反公司政策。 我想知道我的用戶必須具備的最低權限才能執行此操作。 這兩個命令是我現在被阻止的地方。
## Does nothing but no error. Works fine if I use my admin user.
Import-PfxCertificate -FilePath $path cert:\localMachine\WebHosting\ -Password $mypwd -Exportable
## Give me : Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))
$newbinding = Get-WebBinding -Name $site -IPAddress $ip -Port 443 -Protocol "HTTPS" -HostHeader $hostheader
$newbinding.AddSslCertificate("$thumbprint", "WebHosting")
我很難找到需要什么權限/配置的明確答案。 在Cant之前以編程方式將綁定添加到IIS之前,我遇到了同樣的問題-redirection.config權限(帶有視頻!) 。 現在它仍然不起作用,但不是相同的錯誤。
謝謝
如果要說的是要在IIS服務器上遠程運行此程序,則針對許多cmdlet設計的PoSH要求執行命令的用戶位於目標主機本地管理組中。 無法繞開該要求。
現在,所有這些,為什么您需要一個特定的用戶來運行它,而不是使用具有必需特權的計划任務集來執行腳本?
您也可以考慮利用PoSH JEA進行此類工作。 它不能免除管理員憑據的需要,但只會臨時授予它們。
足夠的管理:Windows PowerShell安全控件有助於保護企業數據
Windows管理框架5.0現在包含的最新更新就是足夠管理(JEA),它是一項安全技術,可以通過限制IT管理權限來幫助組織實施信息安全。 JEA提供了一種實用的,基於角色的方法來設置和自動化對IT人員的限制,並降低了與為用戶提供完全管理權限相關的風險。
JEA使用Windows PowerShell腳本環境的內置功能。 您可以使用PowerShell進行管理的任何內容,都可以更安全地使用JEA進行管理。 與傳統的訪問控制模型相比,JEA提供了減少管理訪問權限的標准化方法。
JEA允許特定用戶在指定的服務器上執行指定的管理任務,而無需授予他們完整的管理員權限。 JEA基於Windows PowerShell約束的運行空間,這是Microsoft用來幫助保護Microsoft Exchange Online等環境中的管理任務安全的技術。
https://msdn.microsoft.com/zh-CN/library/dn896648.aspx
使用JEA
本主題描述了可以連接和使用JEA端點的各種方式。
要交互使用JEA,您需要:•要連接的計算機的名稱(可以是本地計算機)•在該計算機上注冊的JEA端點的名稱•可以訪問JEA端點的計算機的憑據
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.