Powershell腳本添加證書並綁定到IIS-權限問題

Question

我們正在嘗試以編程方式向IIS上的站點添加新的SSL證書和新的綁定。 我們使用powershell腳本來實現這一點，並且它與服務器上本地管理員的用戶可以很好地工作。 問題是，我們不能讓Web服務器上的本地管理員用戶在生產環境中運行此應用程序。 這將違反公司政策。 我想知道我的用戶必須具備的最低權限才能執行此操作。 這兩個命令是我現在被阻止的地方。

## Does nothing but no error. Works fine if I use my admin user.
Import-PfxCertificate -FilePath $path  cert:\localMachine\WebHosting\ -Password $mypwd -Exportable

## Give me : Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))
$newbinding = Get-WebBinding -Name $site -IPAddress $ip -Port 443 -Protocol "HTTPS" -HostHeader $hostheader 
$newbinding.AddSslCertificate("$thumbprint", "WebHosting")

我很難找到需要什么權限/配置的明確答案。 在Cant之前以編程方式將綁定添加到IIS之前，我遇到了同樣的問題-redirection.config權限（帶有視頻！） 。 現在它仍然不起作用，但不是相同的錯誤。

謝謝

Answer 1

如果要說的是要在IIS服務器上遠程運行此程序，則針對許多cmdlet設計的PoSH要求執行命令的用戶位於目標主機本地管理組中。 無法繞開該要求。

現在，所有這些，為什么您需要一個特定的用戶來運行它，而不是使用具有必需特權的計划任務集來執行腳本？

您也可以考慮利用PoSH JEA進行此類工作。 它不能免除管理員憑據的需要，但只會臨時授予它們。

足夠的管理：Windows PowerShell安全控件有助於保護企業數據

Windows管理框架5.0現在包含的最新更新就是足夠管理（JEA），它是一項安全技術，可以通過限制IT管理權限來幫助組織實施信息安全。 JEA提供了一種實用的，基於角色的方法來設置和自動化對IT人員的限制，並降低了與為用戶提供完全管理權限相關的風險。

JEA使用Windows PowerShell腳本環境的內置功能。 您可以使用PowerShell進行管理的任何內容，都可以更安全地使用JEA進行管理。 與傳統的訪問控制模型相比，JEA提供了減少管理訪問權限的標准化方法。

JEA允許特定用戶在指定的服務器上執行指定的管理任務，而無需授予他們完整的管理員權限。 JEA基於Windows PowerShell約束的運行空間，這是Microsoft用來幫助保護Microsoft Exchange Online等環境中的管理任務安全的技術。

https://msdn.microsoft.com/zh-CN/library/dn896648.aspx

使用JEA

本主題描述了可以連接和使用JEA端點的各種方式。

要交互使用JEA，您需要：•要連接的計算機的名稱（可以是本地計算機）•在該計算機上注冊的JEA端點的名稱•可以訪問JEA端點的計算機的憑據

https://docs.microsoft.com/zh-CN/powershell/jea/using-jea