Я пытаюсь создать шаблон сертификата из Powershell для автоматического развертывания на экземпляре AWS Windows с Cloudformation.
Инструкции приведены в разделе 3 из: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_ldap.html#setupca
У меня естькакой-то PowerShell, который, кажется, делает то, что мне нужно.После некоторой путаницы я понял, как присоединиться к домену, и что единственный способ для PowerShell переключиться с локального администратора на администратора домена - это:
$Credential = New-Object System.Management.Automation.PSCredential -ArgumentList "$DomainNetBIOSName\$Username", $Pass
start-job -Scriptblock $scriptblock -Credential $Credential
Это работает, я могу установить $scriptblock до {whoami} и смотрите domain\admin, но он должен быть запущен:
Install-AdcsCertificationAuthority -CAType EnterpriseRootCa -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" -KeyLength 2048 -HashAlgorithmName SHA1 -ValidityPeriod Years -ValidityPeriodUnits 10 -Force
Что вызывает ошибку:
CCertSrvSetup::InitializeDefaults: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
+ CategoryInfo : NotSpecified: (:) [Install-AdcsCertificationAuthority], UnauthorizedAccessException
+ FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.CertificateServices.Deployment.Commands.CA.
InstallADCSCertificationAuthority
+ PSComputerName : localhost
Это требует "повышения" я предполагаю ??
Итак, вернемся к чертежной доске.Существует предложение, которое вы можете использовать -Authentication Credssp для достижения этой цели.
Однако тогда он жалуется, что «аутентификация CredSSP в настоящее время отключена в конфигурации клиента».Я предполагаю, что мне понадобится повышенный сеанс, чтобы включить его.Он также начинает говорить об использовании gpedit для изменения некоторых настроек.Ничего из этого не реально из сценария.Например:
PS> Invoke-Command -Authentication Credssp -Scriptblock $ScriptBlock -ComputerName $env:COMPUTERNAME -Credential $Credential
[EC2AMAZ-I1PNQVH] Connecting to remote server EC2AMAZ-I1PNQVH failed with the following error message : The WinRM
client cannot process the request. CredSSP authentication is currently disabled in the client configuration. Change
the client configuration and try the request again. CredSSP authentication must also be enabled in the server
configuration. Also, Group Policy must be edited to allow credential delegation to the target computer. Use gpedit.msc
and look at the following policy: Computer Configuration -> Administrative Templates -> System -> Credentials
Delegation -> Allow Delegating Fresh Credentials.
Итак, как мне заставить мой сервер Windows автоматически запускать разумный сценарий развертывания без необходимости входа в систему и нажатия «разрешить» ??