Discussion :

[Owyn]

Bonjour,

J'ai un petit soucis avec Powershell, cependant aucun problème de codage !
Je suis en train de mettre en place des tâches planifiées qui exécute mon script PS toute les semaines sur plusieurs serveurs. Jusque la, aucun soucis...

Seulement sur un serveur, j'ai un problème avec le Sécurity warning.

Security Warning
Run only scripts that you trust. While scripts from the Internet can be useful,
this script can potentially harm your computer. Do you want to run
\\wancyavs01\d$\Modele_Distribution\Update\UpdateMirror\Update_Mirror.ps1?
[D] Do not run [R] Run once [S] Suspend [?] Help (default is "D"):

Je précise que je vais chercher le script en réseau sur un autre serveur intranet.
J'ai bien passé la stratégie d'exécution à unrestricted, et désinstallé le Internet Explorer Enhanced Security Configuration (j'ai lu à plusieurs reprises que ca jouait dessus).

Seulement la où je ne comprends pas, c'est que lorsque je lance le lance avec mon compte, je n'ai pas le Security warning, mais en le lançant sous un autre compte (en étant sur le même serveur bien sur), je l'ai... J'ai évidemment vérifier que la stratégie d'exécution sous l'autre compte était bien à unrestricted, et c'est le cas.

J'ai cherché sur le net, je n'ai trouvé aucun message relatant ce problème. Est-ce que quelqu'un aurai une idée ?

Cordialement,
Owyn.

[Laurent Dardenne]

Salut,

Est-ce que quelqu'un aurai une idée ?

Je supposes que les deux comptes utilisés sont admin.
La version Windows du serveur est-elle identique à celles des autres serveur ?
La configuration de la sécurité est-elle déclarée dans un profil de PowerShell ? Par défaut la tâche planifiée n'a pas de profil.
As-tu la policy de PowerShell d'installée ?
Au cas où trace avec Process Monitor dispo sur technet.
C'est plus qq pistes de recherche qu'une solution...

[Owyn]

Je supposes que les deux comptes utilisés sont admin.

Affirmatif. Ils sont tous les deux présent dans le groupe Administrators du serveur.

La version Windows du serveur est-elle identique à celles des autres serveur ?

Oui, c'est des Windows Server 2003.

La configuration de la sécurité est-elle déclarée dans un profil de PowerShell ?

La tu me pose une colle... comment savoir ca au juste ?

Par défaut la tâche planifiée n'a pas de profil.

Oui. La partie Exécuter en tant que : est bien rempli. Si je mets mon compte du domaine, aucun problème. Seulement pour diverses raison, je dois mettre un utilisateur commun. Si je mets celui-ci, la tâche planifié est bien exécutée, mais bloque avec le Security warning. En effet, si je lance un PS en runas avec l'utilisateur commun et que je lance le script à la main, je vois bien le sécurity warining qui bloque le bon déroulement de mon script.
En d'autre terme, le security warning est lié au compte de l'utilisateur. Bizarrement, je n'ai pas recontré ce problème lorsque j'ai mis en place les tâches planifiées sur mes autres serveurs.

As-tu la policy de PowerShell d'installée ?

Non.


Je vais essayer Process Monitor, défois que ca peux m'aider
En tout cas, merci déjà pour ces quelques pistes !

[Laurent Dardenne]

La tu me pose une colle... comment savoir ca au juste ?

En utilisant gpedit.msc: Modèles d'administration-Windows Component-Windows PowerShell.

En effet, si je lance un PS en runas avec l'utilisateur commun et que je lance le script à la main, je vois bien le security warning qui bloque le bon déroulement de mon script.

Et que renvoie dans ce cas Get-ExecutionPolicy ?
En relisant la doc (help about_signing) c'est le comportement normal pour la valeur Unrestricted

- Les scripts non signés peuvent être exécutés.
- Les scripts et fichiers de configuration téléchargés à partir d'Internet (y compris Microsoft Outlook, Outlook Express et Windows Messenger) sont exécutés
après que vous avez été informé de leur provenance.
- Risque d'exécuter des scripts malveillants.

Peut être que pour un compte admin le comportement est différent...

En d'autre terme, le security warning est lié au compte de l'utilisateur. Bizarrement, je n'ai pas recontré ce problème lorsque j'ai mis en place les tâches planifiées sur mes autres serveurs.

Les autres comptes utilisés n'auraient-il pas plus de droits sur ces serveurs ?
Le compte sur ton serveur a peut être un profil qui n'est pas à jour ?

[Owyn]

Alors, quelques nouvelles tout de même...

Visiblement mon problème semble résolu. Je n'ai fait aucune modification spécifique. Néanmoins, si ca peut aider quelqu'un :

La seule chose que j'ai faite finalement, c'est de m'être loggué sur le serveur en question avec le compte que j'utilise pour lancer mes scripts dans les tâches planifiées. Et la, c'est passé comme une lettre à la poste !

Pourtant le fait d'exécuter un scipt sur une machine par un compte qui ne s'est jamais loggué sur la machine en question, Windows crée automatiquement un nouveau profile. Et je précise une fois de plus, je n'ai pas fait cette manipulation sur les autres serveurs.

Est-ce que le fait d'avoir déinstaller le Internet Explorer Enhanced Security Configuration avant la création du compte à fait que ca posais problème ? possible... car sur les autres serveurs, il me semble l'avoir fait après.

J'avais toujours possibilité d'auto-signé mes scripts pour contourner ce problème (chose que je ferai probablement à l'avenir), mais d'une façon générale, j'aime bien savoir pourquoi il y avait une erreur. Ceci dit, j'ai maintenant un début de réponse.


Merci à Laurent Dardenne tout de même pour son aide et d'avoir pris la patience de me répondre

Cordialement,
Owyn.