Discussion :

[nesswaw]

Oui : LINUX

A+

J'ai dit que je chercherais une solution fiable

Plus sérieusement, non pas de Linux, notre parc est sous Windows.

@Laurent Dardenne: Le but de ton exemple est que on exécute le script avec le current user et que uniquement la commande pour redémarrer le service se fasse en admin c'est bien?

Merci

[Laurent Dardenne]

@Laurent Dardenne: Le but de ton exemple est que on exécute le script avec le current user et que uniquement la commande pour redémarrer le service se fasse en admin c'est bien?

Oui tout à fait.
Un autre exemple rapido pour masquer une commande :

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
$DeniedCommands = @(
 "Stop-Process",
 "Restart-Computer"
)
 
$ExecutionContext.SessionState.Applications.Clear()
$ExecutionContext.SessionState.Scripts.Clear()            
 
 
#Accès indirect au cmdlet    
function Reboot {Restart-Computer -WhatIf}
 
Get-Command -CommandType Cmdlet, alias, function | 
 Where {$DeniedCommands -contains $_.Name} | 
 Foreach {$_.Visibility="Private"}
 
#$ExecutionContext.SessionState.LanguageMode="NoLanguage"
 
$ExecutionContext.SessionState.LanguageMode="RestrictedLanguage"
 
 # Stop-Process 'introuvable'
gcm -Noun process
 
#Ceci n'est pas persistant
#Fermer et relancer une autre session.

L'idée est que l'utilisateur accède a sa console PS normalement avec ses droits, et il peut via une session configurée/restreinte exécuter la commande Restart-Service avec les droits admin.
Il n'accède pas à la commande mais à une fonction RestartServiceTruc qui paramètre l'appel : Restart-Service -Name ServiceTruc.
Cela permet de déléguer des activités nécessitant des droits d'admin à des utilisateurs, par exemple du support.
Ce qu'il reste à coder est la configuration de cette session (la protéger), ainsi l'utilisateur peut la manipuler, mais ne peut rien faire d'autre avec.
C'est sûr que ce type d'approche touche à l'infra et à l'organisation...


Il existe aussi le redémarrage automatique de service.

[nesswaw]

Je comprend pas comment "on peut cacher" une commande dans Powershell...le script doit de toute façon être stocké à un endroit et être accessible en lecture pour être exécuter, donc l'utilisateur peut le visualiser.