通过 Invoke-command 运行 Reset-ComputerMachinePassword 时拒绝访问

Question

我正在使用以下命令重置远程机器' 密码。

$user="Domain\domainadmin";
$pass="dapassword" | ConvertTo-SecureString -AsPlainText -Force;
$creds=New-Object System.Management.Automation.PSCredential -ArgumentList $UserName, $pass;
Invoke-Command -Credential $creds -ComputerName "DomainControllerMachine" -ScriptBlock{ 
$ComputerName = @"
SomeRemoteHost
"@
Import-Module ActiveDirectory; 
Reset-ComputerMachinePassword -Server ${ComputerName};
}

我不断收到“访问被拒绝”错误。

This command cannot be executed on target computer('DomainControllerMachine') due to following error: Access is
 denied.
    + CategoryInfo          : InvalidOperation: (DomainControllerMachine:String) [Reset-ComputerMachinePasswor
   d], InvalidOperationException
    + FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.ResetCompute
   rMachinePasswordCommand

我使用的帐户对 ActiveDirectory 具有所有级别的访问权限。因此，用于身份验证的凭据不会有问题。

如果我在“DomainControllerMachine”上运行相同的命令（以同一用户身份登录），它工作正常。

Import-Module ActiveDirectory; 
Reset-ComputerMachinePassword -Server "SomeRemoteHost";

即使上面的整个调用命令块也可以正常工作，而不会在 DomainControllerMachine 上抱怨。 但是当我通过 Invoke-Command 或 Enter-PSSession 远程执行此操作时，我会收到可怕的拒绝访问错误..

在机器上设置 WSManCredSSP（客户端、委托和服务器）后，我也尝试使用 CredSSP，但没有成功。

我可能遗漏了什么，或者有没有更好的方法来处理这种情况？

Answer 1

在我看来，您正在域控制器上运行 Reset-computermachinepassword 命令。据我所知，它应该在需要在 -server 字段中使用 DC 名称重置的计算机上运行。

为此，您需要在需要重置凭据的计算机上运行命令：

Reset-Computermachinepassword -server "DomainControllerMachine" -credential $PScredential

如果计算机启用了 powershell 远程处理，您可以尝试使用 PSsession 远程执行此操作。您将需要指定不同的身份验证方法来访问已失去对域的信任的计算机。

您可以使用 Credssp，但这仅在您的 GPO 允许将您的凭据委派给目标计算机时才有效。 或者您可以使用基本身份验证。但要使其正常工作，Target 必须接受未加密的流量。

远程执行的命令可能如下所示：

$session = new-PSSession "targetcomputer" -Authentication Basic -Credential  "Domain\domainadmin"
Invoke-Command -Session $session -scriptblock {Reset-Computermachinepassword -server "Domain\domainadmin"}