Учетная запись локальной системы и диспетчер учетных данных Windows

Question

Итак, у меня есть сценарий powershell, который использует диспетчер учетных данных Windows для хранения учетных данных. Когда я использую свою учетную запись, я могу получить доступ к этим учетным данным, но, похоже, когда я пытаюсь использовать локальную системную учетную запись (стараясь не использовать мою учетную запись для запуска сценариев), она не извлекается из диспетчера учетных данных. Что дает?

if (Get-Module -ListAvailable -Name CredentialManager) {
    Import-Module CredentialManager
}

else {
    Install-Module CredentialManager
}

$service_fqdn = '<SERVER-FQDN>'

$creds = Get-StoredCredential -Target '<SERVICE ACCOUNT>'
$oauth_client_id = $creds.UserName
$oauth_client_secret = $creds.GetNetworkCredential().Password

При попытке получить пароль для $ oauth_client_secret

я получаю нулевую ошибку

Answer 1

Проблема заключается в том, что все учетные данные хранятся и доступны только для текущего зарегистрированного пользователя .

, т. Е. Если вы создаете учетные данные, зарегистрированные как user1, вы не можете получить к ним доступ как user2 или даже Local System Account.

Это имеет смысл, и его нельзя обойти. Вы не хотите, чтобы случайно зарегистрированные пользователи / пользователи имели доступ к учетным данным других пользователей.

«Обходной путь» - создать новую учетную запись пользователя / службы с минимальными разрешениями, предназначенными для запуска. сервис / скрипт. Затем вы можете создать новые учетные данные в качестве этой новой учетной записи пользователя / службы:

New-StoredCredential -Target "Server1" -Username "SA-Username" -Password "Password123"

Затем, запустив сценарий от имени этого пользователя, вы получите доступ к учетным данным.

Примечание: вы не можете использовать Локальную учетную запись службы для запуска сценария, поскольку вы не можете явно указать Локальную учетную запись службы в качестве действительного пользователя для создания новых сохраненных учетных данных.