Powershell 访问被拒绝问题

Question

我正在尝试从我的域中的计算机下载注册表配置单元，并且我首先在本地测试一些命令。我有两台机器 (VM) 不在同一个域中：SRV2K12 和 US-TEST。我可以在两台机器上成功运行reg.exe save HKLM\SYSTEM \\SRV2K12\Hives\<hostname>（手动输入的本地主机名在哪里）。但是，我最终需要远程运行命令，所以我使用 Invoke-Command。在我的 Win 2012 服务器上，我可以使用 Invoke-Command -computername SRV2K12 -ScriptBlock {reg.exe save HKLM\SYSTEM \\SRV2K12\Hives\<hostname> 并且它按预期工作。在我的 Windows 7 和 Windows 10 机器上，它不起作用。我收到此错误：

ERROR: Access is denied.
    + CategoryInfo           : NotSpecified: (ERROR: Access id denied.: String) []. RemoteException
    + FullyQualifiedErrorId  : NativeCommandError
    + PSComputerName         : <hostname>
NotSpecified: (:) [], RemoteException

我可以在 US-TEST Windows 7 机器上运行 Invoke-Command -ScriptBlock {reg.exe save HKLM\SYSTEM \\SRV2K12\Hives\US-TEST} 就好了，它将配置单元保存到远程计算机。但是当我添加 -computername US-TEST 属性（在 Win 7 或 10 机器上）时，它告诉我访问被拒绝。

有什么想法可以让它发挥作用吗？我已经在这些机器上运行了enabled-psremoting -force，它成功完成了。我还在两台机器上运行了Set-item wsman:localhost\client\trustedhosts -value *。没有变化。

Answer 1

2-Hop 远程处理是您的问题，正如 BenH 所说，CredSSP 可以解决它，但您也可以进行小的设计更改，而不是尝试从远程主机进行保存，只需将数据返回到您的调用计算机并执行从那里保存。以下是一种方法，但如果您使用 get-itemproperty 而不是 reg.exe，您可以获得更高的效率并避免临时文件另外请注意，当您使用调用时，这很有可能不起作用 -带有 -computername 参数的命令针对您正在运行的计算机，需要针对远程计算机调用 -computername。

$SB = {
  reg.exe save HKLM\SYSTEM "$($env:TMP)\reg"
  $tempFile = gc "$($env:TMP)\reg"
  return $tempFile
}

$result = Invoke-Command -ScriptBlock $SB -computername COMPUTERNAME
$result | Out-File \\SRV2K12\Hives\US-TEST