Discussion :

[dcolleville]

Bonjour,

Je script pas mal dans ma boite, mais uniquement à mon usage. j'ai un compte "standard" et un compte "d'administration" avec des droits sur des partages, sur l'Active Directory,... élevés. Donc je lance mes scripts "en tant que" mon compte d'administration. Jusque là pas de problème.
sauf que je dois maintenant mettre à disposition certains de mes script à l'usage d'utilisateurs qui on eux aussi un compte d'administration, mais avec beaucoup moins de privilèges que moi !
J'ai vu que l'on pouvait utiliser des credentials avec une clé de cryptage pour cela. Sauf que les différents test que j'ai fait ne fonctionnent pas... L'avez-vous déjà fait, avez-vous une idée ?

Donc, but:
pouvoir lancer un script avec des droits élévés.

Merci !

[Micky Balladelli]

Il y a sans doutes plusieurs façons de procéder, en voici une:

On peut créer un fichier qui contient un mdp chiffré avec la clé de la machine (il ne pourra pas être déchiffré sur une autre machine si déplacé).

La première étape est de créer le fichier:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Function New-PasswordTextFile{
    param([string] $filename)
    read-host -assecurestring | convertfrom-securestring | out-file $filename
}

New-PasswordTextFile -filename ".\passfile.txt"

Ensuite on peut régénérer les credentials avec la donnée dans passfile.txt ainsi:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
    $pass = get-content ".\passfile.txt" | convertto-securestring 
    $Credential = new-object -typename System.Management.Automation.PSCredential -argumentlist "AD\compte",$pass

Remplacer AD\compte avec le nom du compte à utiliser.

Ensuite on peut démarrer un script avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Invoke-Command -Credential $Credential -comp localhost -ScriptBlock {get-date}

Thursday, July 30, 2015 9:32:58 AM

ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
Start-Job -Credential $credential -ScriptBlock { get-date} 
get-job | Wait-Job

Id     Name            PSJobTypeName   State         HasMoreData     Location             Command                  
--     ----            -------------   -----         -----------     --------             -------                  
74     Job74           BackgroundJob   Completed     True            localhost             get-date   

get-job | receive-job

Thursday, July 30, 2015 9:34:43 AM

*** Attention ***
Il faut savoir ceci avant de se lancer dans ce type d'approche, si une personne a accès au fichier ou au script, elle peut facilement trouver le mdp en clair depuis $Credential ainsi:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$mdp_en_clair = $Credential.GetNetworkCredential().Password

Et là c'est pas bon du tout. Il vaut mieux créer un compte de service avec les droits spécifiques qui peut être limité (pas de logon interactif, logon seulement à partir d'une machine donnée etc). En tout cas à creuser avant de se lancer et évaluer toutes les possibilités.

[6ratgus]

bonjour dcolleville

une autre solution pour ne pas donner des scripts sensibles ou de droits ou de mot de passe
mais qui demande plus de travail de préparation, c'est de passer par un intermédiaire.
je m'explique :
- un utilisateur sans droit utilise un script ou autre chose pour faire une action. mais le script ne fait pas l'action, il dépose la demande dans un fichier ou une base de données.
- un script avec des droits élevés qui tourne en permanence (ou qui s'exécute toutes les secondes par exemple) sur un serveur ou autre, lis les demandes et les exécutes !

tu ne donne pas de droit ou de mot de passe, mais tu peux gérer les droits dans le script serveur par rapport à l'utilisateur qui fait la demande (s'il fait parti d'un groupe de l'AD par exemple)
donc tout le monde peut avoir le script pour faire la demande sans problème !!!

Ca demande un peu de travail par rapport à ton organisation mais ça vaux le coup à l'usage
j'utilise cette solution via une page web et une base sql et ça me simplifie la vie d'admin !

[suchiwa]

Bonjour,

Je script pas mal dans ma boite, mais uniquement à mon usage. j'ai un compte "standard" et un compte "d'administration" avec des droits sur des partages, sur l'Active Directory,... élevés. Donc je lance mes scripts "en tant que" mon compte d'administration. Jusque là pas de problème.
sauf que je dois maintenant mettre à disposition certains de mes script à l'usage d'utilisateurs qui on eux aussi un compte d'administration, mais avec beaucoup moins de privilèges que moi !
J'ai vu que l'on pouvait utiliser des credentials avec une clé de cryptage pour cela. Sauf que les différents test que j'ai fait ne fonctionnent pas... L'avez-vous déjà fait, avez-vous une idée ?

Donc, but:
pouvoir lancer un script avec des droits élévés.

Merci !

Bonjour decolleville,

J'arrive après la bataille, mais la question est intéressante, car souvent posée.

D'après technet, en utilisant start-process
https://social.technet.microsoft.com...nas-credential

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Start-Process powershell -Credential domain\domainadmin -ArgumentList '-noprofile -command &{Start-Process notepad -verb runas}'

Si c'est distant, plutôt un invoke-command

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Invoke-Command -ComputerName ADDS01 -Credential domain\admin -ScriptBlock {c:\script.ps1}