Повышение привилегий в Windows с ansible

Question

Я пытаюсь запустить некоторые команды в Ansible от имени администратора.Согласно Ansible docs :

Вы можете использовать становиться с тем же пользователем, что и ansible_user, чтобы обойти эти ограничения и запустить команды, которые обычно недоступны в сеансе WinRM.

Это, однако, не работает для меня.Каждый раз, когда я пытаюсь запустить следующую пьесу:

- hosts: jenkins-win
  gather_facts: no
  tasks:

    - win_whoami:
      become: yes
      become_user: foo

, я получаю Failed to become user foo: Exception calling \"RunAsUser\" with \"7\" argument(s): \"LogonUser failed (The user name or password is incorrect, Win32ErrorCode 1326)\".

Пользователь foo является членом группы Administrators.Если я щелкну значок с RMB и выберу «Запуск от имени администратора», я получу приглашение UAC без необходимости ввода пароля.Если я отключаю UAC, команда просто запускается от имени администратора.

Если я установлю ansible_become_user и ansible_become_password на foo и password соответственно, все просто работает.Я хотел бы избежать установки ansible_become_password, так как я уже вошел в систему через WinRM.

Я использую ANSIBLE 2.7.6, WinRM с CredSSP и Windows Server 2016.

Answer 1

Похоже, что на вопрос ответила рассылка

. Ответ на вопрос о том, требуется ли пароль.Метод runas стал реализацией Ansible исполняемого файла runas https://technet.microsoft.com/en-us/library/bb490994.aspx, где требуются имя пользователя и пароль.Вызываемые внутренние API-интерфейсы Win32 требуют указания имени пользователя и пароля, и мы не можем обойти это.В конце вам нужно указать пароль для использования стать для обычной учетной записи, но есть и другой вариант, если вы находитесь в ветке devel.Вы можете стать учетной записью SYSTEM, установив SYSTEM как становиться_пользователем, и для этого не требуется пароль.Учетная запись SYSTEM похожа на root в Windows и может делать практически все что угодно.

Answer 2

Попробуйте добавить

become_method=runas

в ansible.cfg файл.