具有存储凭据的启动进程 PowerShell 不起作用答案

【问题标题】：Start-Process PowerShell with stored credentials is not working具有存储凭据的启动进程 PowerShell 不起作用
【发布时间】：2019-07-24 14:15:50
【问题描述】：

我有一个必须以提升用户身份运行的脚本。我正在使用问题“Running a PowerShell script as administrator without typing in passwords”中的代码但我的第二个脚本没有被调用。第一个脚本由系统进程触发（我的票务系统收到一封电子邮件，然后它以主题行作为参数调用我的提升脚本），并且不能简单地使用计划任务。

调用脚本：

param(
    [Parameter(Mandatory=$true)]
    [String]$MyParam
)

$LogFile = "c:\temp\log.txt"

$encpwd = Get-Content c:\temp\password.bin
$passwd = ConvertTo-SecureString $encpwd
$cred = new-object System.Management.Automation.PSCredential 'domain\LocalAdminAccount',$passwd
Add-Content $LogFile "I am running as $env:userdomain\$env:username"
Add-Content $LogFile "Trying to call the script with the parameter: $MyParam"
try {
    Add-Content $LogFile "Calling script"
    Start-Process PowerShell -WorkingDirectory 'C:\Windows\System32' -Cred $cred -ArgumentList '-File', "c:\temp\TargetScript.ps1 $MyParam"
    Add-Content $LogFile "Script called"
} catch {
    $msg = $Error[0].Exception.Message
    Add-Content $LogFile "Error caught: $msg"
}
Add-Content $LogFile "Error caught: $msg"

被调用的脚本：

param(
    [Parameter(Mandatory=$true)]
    [String]$PassedParam
)
$LogFile = "c:\temp\log.txt"

Add-Content $LogFile "I am running as $env:userdomain\$env:username"
if ($PassedParam) {
    try {
        #stuff
        if ($?) {
            Add-Content $LogFile "$PassedParam worked"
        } else {
            Add-Content $LogFile "Failed"
        }
    } catch {
        $msg = $Error[0].Exception.Message
        Add-Content $LogFile "Error caught: $msg"
    }
}
Add-Content $LogFile "Error caught: $msg"

这就是放在日志文件中的内容：

I am running as DOMAIN\COMPUTER$
Trying to call the script with the parameter: Tim
Calling script

它似乎从未真正启动第二个 powershell 进程，或者至少如果它启动了，第二个 powershell 进程没有写入日志文件。我特意授予 LocalAdminAccount 对日志文件和 password.bin 文件的完全权限，并且 LocalAdminAccount 在计算机的管理员组中。

如果重要的话，我的 powershell 版本是：

PS C:\> $PSVersionTable.PSVersion
Major  Minor  Build  Revision
-----  -----  -----  --------
4      0      -1     -1

更新：如果我以自己的身份登录计算机并运行脚本，日志文件显示如下：

I am running as DOMAIN\TIM
Trying to call the script with the parameter: Tim
Calling script
Script called
I am running as DOMAIN\LocalAdminAccount
Tim worked
Error caught:

更新： 我确实找到了这篇文章：https://www.pdq.com/blog/secure-password-with-powershell-encrypting-credentials-part-2/，这表明我需要为密码提供解密密钥，因为我在我的帐户下创建了密码文件，但它正在被 NT SYSTEM 解密。但这并没有解决我的问题。

我通过简单地尝试调用记事本进行了更多测试。如果我尝试以其他用户身份打开它会失败，但如果我只是尝试打开它，我可以在以 SYSTEM 用户名运行的任务管理器中看到它。

我的问题似乎真的是 SYSTEM (DOMAIN\COMPUTER$) 没有能力以其他用户身份运行进程？

【问题讨论】：

尝试从powershell执行Start-Process PowerShell...行...当我测试它时，它没有被提升...（即使get-credential也没有）
@T-Me 如果我运行这些行来获取 password.bin 并创建 $cred，然后运行 start-process 行，它可以工作。这是意料之中的，因为手动运行脚本也可以。只有当脚本以DOMAIN\COMPUTER$ 运行时，才会调用第二个脚本。
事件查看器有什么用处吗？我认为任何涉及凭据的调用至少会出现在安全日志中。
我宁愿告诉你如何在系统帐户。关于这一点，请参见：Run PowerShell as SYSTEM（授人以鱼，你养他一天。教人钓鱼，你养他一辈子。）
如果您已经以SYSTEM 帐户运行，则不需要提升。

标签： powershell uac

【解决方案1】：

从交互式 PowerShell 窗口以系统身份运行主脚本命令（请参阅：Run PowerShell as System。

这将显示错误：

由于以下错误无法运行此命令：访问被拒绝。

此问题已在Powershell Start-Process : This command cannot be executed due to the error: Access is denied 进行了描述，并由本地政策定义：

Security Settings
    Local Policies
        User Rights Assignment
            Impersonate a client after authentication

【讨论】：

这看起来很有希望，但也许我做错了什么。我更新了 secpol 并添加了 SYSTEM、DOMAIN\COMPUTER$ 和 DOMAIN\AdminUser 以获得良好的衡量标准。我尝试了gpupdate /force 并重新启动服务器，但仍然被拒绝访问。

【解决方案2】：

要在另一个进程中运行脚本，请记住 PowerShell 始终在启动它的用户的上下文中运行，因此您需要将脚本设置为自动提升 / 至少使用 RunAs 动词。

Start-Process PowerShell -verb RunAs -Cred $cred -ArgumentList '-noexit','-File','path-to-script'

或在记事本或其他脚本用例中说...

Start-Process powershell -Credential mydomain\mydomainAdmin -ArgumentList '-noprofile -command &{Start-Process notepad -verb runas}'

...作为您使用的指针显示。您没有在发布的代码中的任何地方使用它。您必须单独启动另一个进程才能以另一个用户身份运行。

【讨论】：

除了 RunAs 将要求我输入我想要模拟的用户的密码。请参阅基思回答的第二部分：stackoverflow.com/questions/12693327/…

【解决方案3】：

作为一种变通方法，我创建了一个以我的服务管理员身份运行的计划任务。现在，当票务系统触发调用计划任务的脚本时，计划任务运行需要提升的第二个脚本。这并不理想，但确实可以按需要工作。

计划任务（称为步骤 2）

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2019-08-01T09:12:24.7058452</Date>
    <Author>Tim</Author>
    <Description></Description>
  </RegistrationInfo>
  <Triggers />
  <Principals>
    <Principal id="Author">
      <UserId>Domain\ServiceAccount</UserId>
      <LogonType>Password</LogonType>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    all defaults. Removed for brevity.
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe</Command>
      <Arguments>-file "C:\Temp\Step2.ps1"</Arguments>
    </Exec>
  </Actions>
</Task>

Step1.ps1（调用脚本）

param(
    [Parameter(Mandatory=$true)]
    [String]$MyParam
)

$LogFile = "c:\Temp\Actions.log"
$ParamFile = "c:\Temp\Params.txt"
Remove-Item $ParamFile
$MyParam | Out-File -FilePath $ParamFile
Add-Content $LogFile "$MyParam written to file."
Add-Content $LogFile "Calling Step 2 task."
Start-ScheduledTask -TaskName "Step 2"

Step2.ps1（被调用脚本）

$LogFile = "c:\temp\log.txt"
$ParamFile = "c:\Temp\Params.txt"
$PassedParam = Get-Content $ParamFile
Add-Content $LogFile "I am running as $env:userdomain\$env:username"
if ($PassedParam) {
    try {
        #stuff
        if ($?) {
            Add-Content $LogFile "$PassedParam worked"
        } else {
            Add-Content $LogFile "Failed"
        }
    } catch {
        $msg = $Error[0].Exception.Message
        Add-Content $LogFile "Error caught: $msg"
    }
}
Add-Content $LogFile "Step 2 complete"

我不会将此标记为答案，因为它通过变通方法解决了我的问题，但它没有回答我的问题。

【讨论】：

【解决方案4】：

我的建议是授予计算机帐户访问相关目录对象的权限（最明显的方法是将计算机帐户添加到在目录中具有必要权限的组）并使用SYSTEM 帐户。在我看来，这对于您的方案来说是最直接和最简单的解决方案。

【讨论】：