Automatizálás PowerShellben rendszergazdai jogosultságok nélkül

Ha kíváncsi, hogyan Feladatok automatizálása PowerShellben rendszergazda nélkülNincs egyedül. Ez egy nagyon gyakori forgatókönyv: szkripteket kell futtatnia, tisztításokat ütemeznie, jelentéseket generálnia vagy a Microsoft 365-öt kezelnie, de nincsenek emelt szintű jogosultságai a gépen, vagy egyszerűen biztonsági okokból nem szeretné használni azokat.

A jó hír az, hogy a Windows által kínált eszközök (PowerShell, Feladatütemező és néhány parancssori opció) megismerésével beállíthat egy olyan rendszert, amely a következőket tartalmazza: meglehetősen hatékony automatizálás a rendszergazdai fiók érintése nélkülAzonban elengedhetetlen megérteni azt a kontextust, amelyben a szkriptek végrehajtásra kerülnek, a korlátozásokat emelt szintű jogosultságok nélkül, és azt, hogyan konfigurálható minden úgy, hogy az első adandó alkalommal elkerülhető legyen a hiba.

Futtassa a PowerShellt rendszergazdai jogosultságok nélkül

Mielőtt belemerülnénk a fejlett automatizálásba, fontos megérteni, hogyan Nyissa meg a PowerShellt emelt szintű jogosultságok nélkül Habár a Windows folyamatosan a „Futtatás rendszergazdaként” opciót választja, sok vállalati vagy megosztott környezetben ez egyszerűen nem lehetséges.

Van egy nagyon hasznos trükk a parancs alapján runas Ez lehetővé teszi, hogy korlátozott megbízhatósági szinttel indítson PowerShell-munkamenetet, ami ideális az engedélyek emelése nélküli munkavégzéshez, még akkor is, ha felhasználói fiókja rendelkezik ezekkel a jogosultságokkal. Ehhez egyszerűen kövesse az alábbi alapvető lépéseket:

1. Nyissa meg a parancssor (cmd) normál módban, a „Futtatás rendszergazdaként” opció használata nélkül.

2. A cmd ablakban írd be ezt a parancsot, és nyomd meg az Enter billentyűt:

runas /trustlevel:0x20000 powershell

Ez a parancs egy új PowerShell-munkamenetet indít egy korlátozottabb bizalomszintEz segít elkerülni bizonyos problémákat, amikor valami nem működik megfelelően egy emelt szintű konzolon. Klasszikus példa erre a felhasználói eszközök telepítése, mint például a FűszerezdHa rendszergazdai jogosultságokkal rendelkező PowerShell-munkamenetből próbálod letölteni vagy konfigurálni, a folyamat sikertelen lehet, míg normál jogosultságokkal rendelkező munkamenetből problémamentesen működik.

Ez a megközelítés nagyon jól illeszkedik a filozófiához, legkisebb kiváltságCsak akkor emeled meg az engedélyeket, ha feltétlenül szükséges, és az automatizálás nagy részét ugyanazzal a kontextussal hagyod futni, mint amelyet egy átlagos vagy napi munkafelhasználó használna.

A PowerShell, mint a modern automatizálás alapja

A PowerShell sokkal több, mint egy kék konzol: ez egy automatizálási keretrendszer és szkriptnyelv Windows rendszerek, valamint a legújabb verzióiban (PowerShell Core) Linux és macOS rendszerek felügyeletére tervezték. Működik cmdletekkel (speciális parancsokkal), objektumokkal és pipe-okkal, lehetővé téve összetett feladatok felépítését nagyon apró, újrafelhasználható darabokból.

A klasszikus parancssorhoz képest óriási a különbség: a PowerShell segítségével parancsok láncolása, objektumok kezelése, naplók lekérdezése, szolgáltatások, IIS, SQL, Microsoft 365 és gyakorlatilag bármilyen Microsoft vagy harmadik féltől származó termékkel, amely kompatibilis modulokkal rendelkezik. Ez ideális eszközzé teszi mindent automatizálni, az egyszerű ideiglenes fájltisztításoktól kezdve a teljes webes alkalmazások telepítéséig.

Fontos különbséget tenni PowerShell (a környezet) és egy PowerShell-szkriptA környezet a konzol vagy terminál, ahová interaktív parancsokat írunk be, míg a szkript egy .ps1 fájl, amely utasítások, feltételek, függvények és változók rendezett sorozatát tartalmazza, amelyek ismétlődő feladatok végrehajtására szolgálnak anélkül, hogy mindent minden alkalommal be kellene gépelni.

Ezek a PowerShell szkriptek képezik az alapot, amelyre sok épül. IT automatizálási stratégiák: tömeges felhasználókezelés, frissítések telepítése, rendszerfelügyelet, automatikus jelentéskészítés, időszakos tisztítási feladatok stb. És ami a legjobb az egészben, ezek közül sok forgatókönyv futtatható helyi rendszergazdai fiók közvetlen elérése nélkül, amennyiben a szkript csak olyan erőforrásokat érint, amelyekhez a felhasználónak már van hozzáférése.

PowerShell-környezet és végrehajtási szabályzatok konfigurálása

Ahhoz, hogy az automatizálás zökkenőmentesen működjön, szükség van az automatizálás viselkedésének ellenőrzésére. PowerShell végrehajtási szabályzatEz a szabályzat határozza meg, hogy mely szkriptek futtathatók és honnan, és általában ez az első akadály, amivel bárki találkozik az automatizálás megkezdésekor.

A leggyakoribb végrehajtási irányelvek a következők:

• KorlátozottEz az alapértelmezett beállítás számos telepítésben. Csak interaktív parancsok engedélyezettek; a .ps1 szkriptek blokkolva vannak. Ez a legbiztonságosabb lehetőség, de a gyakorlatban... Megakadályozza a szkript alapú automatizálást.
• AllSignedCsak megbízható kiadó által digitálisan aláírt szkriptek futtathatók. Ez olyan környezetekben alkalmas, ahol azt szeretné, hogy szigorú ellenőrzés a kód felett ami a csapatokban fut.
• Távoli aláírássalAz internetről vagy távoli helyekről letöltött szkripteket alá kell írni, de az aláíratlan helyi szkriptek végrehajthatók. Ez egy meglehetősen kiegyensúlyozott és nagyon gyakori szabályozás a vállalati környezetekben.
• Korlátlan: lehetővé teszi bármilyen szkript végrehajtását, függetlenül attól, hogy aláírt-e vagy sem. Nem ajánlott termeléshez, mert nagy kockázatnak teszi ki a rendszert.

A jelenlegi szabályzatát a következőképpen ellenőrizheti:

Get-ExecutionPolicy

És módosítsa (ha a fiókja rendelkezik ehhez jogosultsággal) a következővel: Set-ExecutionPolicyPéldául:

Set-ExecutionPolicy RemoteSigned

Ha nem rendszergazda, akkor lehet, hogy nem tudja módosítani a szabályzatot gépi szinten, de felhasználói vagy folyamatszinten igen, a szervezet konfigurációjától függően. Mindenesetre, ha emelt szintű jogosultságok nélkül tervezi az automatizálást, feltételezze, hogy a végrehajtási szabályzat Ez csak egy újabb biztonsági korlátozás, amivel együtt kell élned. és ennek megfelelően tervezd meg a szkripteket.

PowerShell szkriptek egyszerű létrehozása és szerkesztése

Bár bármilyen szövegszerkesztőben írhatsz szkripteket, sokkal kényelmesebb olyan eszközöket használni, amelyek a következők: szintaxiskiemelések és fejlesztési segédanyagokkülönösen ahogy a szkriptek növekednek, és elkezdenek függvényeket, modulokat és összetett logikát tartalmazni.

A PowerShell szkriptekkel való munkavégzés leggyakoribb lehetőségei a következők:

• Visual Studio Code (VS Code)Ma a Microsoft ajánlja ezt a lehetőséget. Ingyenes, könnyű, és a hivatalos PowerShell-bővítmény telepítésével automatikus kiegészítést (IntelliSense), lépésről lépésre történő hibakeresést, kódrészleteket, Git-integrációt és integrált terminált kínál.
• PowerShell ISEEz a klasszikus integrált környezet, amely a Windows PowerShell 5.1-es és korábbi verzióival érkezik. Bár a VS Code-hoz képest örököltnek számít, még mindig széles körben használják számos környezetben.
• Jegyzettömb vagy más egyszerű szerkesztőprogram: alkalmas kis vagy gyors szkriptekhez, bár számos hasznos funkciót elveszít, amelyek megkönnyítik az életet, amikor a kód bonyolulttá válik.

Minden esetben az alapvető folyamat hasonló: létrehoz egy új fájlt, megírja a PowerShell-kódot, és menti a kiterjesztéssel. . Ps1 és aztán futtatod egy konzolról. Például, ha elmented a szkriptet a C:\Scripts\MiScript.ps1A PowerShellből a következőképpen indíthatod el:

& "C:\Scripts\MiScript.ps1"

Ahhoz, hogy mindezt automatizálással összeegyeztesd, át kell gondolnod, hogy Hogyan fogják hívni ezt a szkriptet programozott módon? rendszergazdai jogosultságok használata nélkül, amit később a Feladatütemezővel fogunk látni.

Automatizálás a Windows Feladatütemezővel és a PowerShell-lel

A Windows Feladatütemező egy olyan eszköz, amely lehetővé teszi a következőket: PowerShell szkriptek automatikus elindítása ütemtervek, események vagy rendszerfeltételek szerint. Bár sok útmutató rendszergazdai jogosultságokkal rendelkező feladatokhoz használja, szabványos felhasználói környezetben automatizáláshoz is tökéletesen alkalmas, feltéve, hogy a feladat a megfelelő fiókkal van konfigurálva.

A Feladatütemező könyvtára az összes feladatot mappákba rendezi, és mindegyikhez számos kulcsfontosságú fület kínál:

• Általános: név, leírás, fiók, amely alatt fut, és biztonsági beállítások (például, hogy akkor is fut-e, ha a felhasználó nincs bejelentkezve).
• Eseményindítók: meghatározza, hogy mikor indul el a feladat: bejelentkezéskor, a számítógép bekapcsolásakor, minden nap, egy adott időpontban, esemény bekövetkeztekor stb.
• Műveletek: meghatározza, hogy mit csinál a feladat, amikor aktiválódik, általában elindít egy programot, ami ebben az esetben a következő lesz: powershell.exe a megfelelő érvekkel.
• Körülmények: lehetővé teszi a futás közbeni finomhangolást: csak akkor, ha a számítógép csatlakoztatva van, ha egy ideig inaktív, ha a hálózat megfelel bizonyos jellemzőknek stb.
• Beállítások (Configuración): további beállítások, például igény szerinti végrehajtás engedélyezése, újrapróbálkozások sikertelen futtatás esetén, leállítás, ha túl sokáig tart, viselkedés, ha már fut stb.
• Történelem: naplózza a végrehajtásokat, hibákat és figyelmeztetéseket, ami nagyon hasznos hibakereséshez, ha valami nem úgy fut, ahogy kellene.

PowerShell-szkript Feladatütemezőből történő indításához a Műveletek lapon található tipikus minta a következő:

• Program/szkript: powershell.exe
• Argumentumok hozzáadásaValami ilyesmi -File C:\Scripts\MiScript.ps1szükség esetén további paraméterek hozzáadása, például -ExecutionPolicy Bypass o -NoExit igényeinek megfelelően.
• Induljon be: opcionális, a szkript helyszínének könyvtára, ha relatív elérési utakat használ.

Ha a szokásos felhasználói fiókot használja feladat-végrehajtási fiókként (az Általános lapon), a szkript a következővel fog futni: ugyanazokkal a jogosultságokkal, mint te Bejelentkezéskor ez tökéletesen illeszkedik az adminisztrátor nélküli automatizálás alapelvéhez. Ha azonban a szkriptnek a rendszergazdák számára fenntartott rendszerrészekhez kell hozzáférnie, akkor sikertelen lesz, ezért elengedhetetlen, hogy minden feladatot a rendelkezésre álló biztonsági környezet figyelembevételével tervezzünk meg.

A Feladatütemezővel és a PowerShell-lel történő automatizálás előnyei

A Feladatütemező és a PowerShell-szkriptek kombinálása számos előnyt kínál, még emelt szintű jogosultságok nélkül is. Néhány fő előny:

• Időmegtakarítás: az ismétlődő feladatok, mint például a takarítás, jelentéskészítés vagy adatexportálás automatikusan lefutnak, miközben Ön valami mást csinál, vagy akár a munkamenet bezárása után is (ha a feladat erre van konfigurálva).
• következetességA szkript mindig pontosan ugyanazt csinálja, ugyanabban a sorrendben, hibák nélkül, ami csökkenti az emberi hibalehetőségeket.
• megbízhatóságBeállíthat rendszeres (napi, heti, havi) rutinokat, amelyekkel a rendszer vagy az adatai jó állapotban maradnak, akár manuális beavatkozás nélkül is.
• Erőforrás-hatékonyságA szkriptek könnyen ütemezhetők csúcsidőn kívüli időszakokra, így elkerülhetők a csúcsidőszakokban jelentkező teljesítménybeli hatások.
• rugalmasságidőalapú, bejelentkezésalapú, rendszerindítási vagy eseményalapú triggerek teszik lehetővé az Ön környezetéhez nagymértékben igazodó automatizálások.
• hibakezelésKonfigurálhatja az újrapróbálkozásokat, naplózhatja a PowerShell-kimenetet, e-maileket küldhet, vagy írhat konkrét eseményeket, ha valami nem sikerül.
• BiztonságA korlátozott felhasználói fiókokkal futtatott szkriptek csökkentik a súlyos rendszerkárosodást okozó szkripthibák kockázatát. Csak akkor használjon szélesebb körű jogosultságokkal rendelkező feladatokat, ha feltétlenül szükséges.

A nagy hálózatok fejlett automatizálásához a PowerShell még több lehetőséget kínál: jól megtervezett ütemezett feladatokkal összetett munkafolyamatok láncba fűzése, különböző gépeken keresztüli feladatokat szervezhetnek, és automatikusan reagálhatnak bizonyos eseményekre.

Gyakorlati példák a PowerShell-lel történő automatizálásra

Miután tisztáztuk a keretrendszert, az igazi különbséget a következők jelentik: adott szkriptek, amelyeket futtatszÍme néhány nagyon gyakori forgatókönyv, ahol a PowerShell ragyog, mind az egyes csapatokban, mind a nagyobb környezetekben.

A Microsoft 365 kezelése PowerShell-lel

A Microsoft 365 környezetben a PowerShell vált a legfontosabb eszközzé a következőkhöz: felhasználók, licencek és szolgáltatások tömeges kezeléseA megfelelő modulokkal csatlakozhat a bérlőjéhez, és automatizálhatja a napi munka jelentős részét, például Felhasználói profilok és az Office migrálásaKezdésként általában a klasszikus MSOnline modult használják (bár manapság a Microsoft Graph modul és a modern Exchange Online modul gyakoribb). Az alapvető munkafolyamat a következő lenne:

1. Telepítse a szükséges modulokat (például egy PowerShell-munkamenetből, amely rendelkezik modultelepítési engedélyekkel):
   Install-Module -Name PowerShellGet -Force -AllowClobber
Install-Module -Name MSOnline
2. Csatlakozzon a szolgáltatáshoz a Microsoft 365 rendszergazdai hitelesítő adataival:
   Connect-MsolService

Innen automatizálhatja a következő feladatokat:

• Tömeges felhasználói regisztráció egy CSV fájlból, jelszavak és profiltulajdonságok hozzárendelésével.
• Változások a csoporttagságban szabályok alapján (például felhasználók áthelyezése adott biztonsági csoportokba).
• Inaktív fiókok automatikus deaktiválása olyan kritériumok alapján, mint az utolsó jelszómódosítás dátuma vagy a bejelentkezés dátuma.
• Időszakos jelentések generálása a felhasználói tevékenységgel, a használatban lévő licencekkel vagy a biztonsági állapottal kapcsolatban.

Ezek a szkriptek manuálisan is elindíthatók egy megfelelő engedélyekkel rendelkező konzolról a Microsoft 365-ben, vagy integrálhatók az ütemezett feladatokba egy felügyeleti kiszolgálón. Bár a bérlői felügyelethez magas jogosultságokkal rendelkező fiók szükséges a felhőben, a számítógép, amelyről a szkriptet futtatja... Nem feltétlenül kell helyi rendszergazdai fiókfeltéve, hogy modulokat telepíthet és távoli szolgáltatásokhoz csatlakozhat.

Helyi karbantartási automatizálás

Hagyományos Windows gépeken, akár egy standard fiókkal is létrehozhatsz szkripteket a következőkhöz:

• Felhasználói mappák biztonsági mentése mediante másolatok és szinkronizálás egy másik meghajtóra vagy egy olyan hálózati helyre, amelyhez hozzáfér.
• Tisztítsa meg az ideiglenes fájlokat és a feltorlódott szoftvereket a profil elérési útjaiban, alkalmazás-gyorsítótáraiban vagy naplóiban, amelyekhez nem szükséges rendszergazdai jogosultság.
• Lemez-, CPU- vagy memóriahasználat rögzítése A fiókod szempontjából a jelentések generálása egy olyan könyvtárban, ahová írhatsz.
• Belső folyamatok áttekintése vagy olyan felhasználói szolgáltatások, amelyek állapotának ellenőrzéséhez nem igényelnek emelt szintű jogosultságokat.

Ezek a szkriptek a felhasználói fiókod alatt futó Feladatütemezővel együtt lehetővé teszik a következő beállítását: alapvető karbantartási és felügyeleti rutin nagyon hasznos akkor is, ha az informatikai osztály nem ad rendszergazdai hozzáférést.

Távoli automatizálás Splashtop és más rendszerekkel

Azokban a környezetekben, ahol a munkavégzés távolról történik, olyan eszközök, mint például Splashtop Egy újabb érdekes réteget adnak hozzá. Ez a fajta megoldás biztonságos távoli hozzáférést biztosít a berendezésekhez, és bizonyos esetekben specifikus képességeket is kínál a következőkhöz:

• Dobás parancssorok vagy távoli PowerShell konzolok anélkül, hogy teljes asztali munkamenetet kellene indítani.
• PowerShell-szkripteket futtathat egyszerre több végponton, auditvezérléssel és központosított ütemezéssel.
• Szabályzatok alkalmazása, javítások vagy javító szkriptek telepítése számítógépek csoportjaira felügyelet nélkül.

A Splashtop AEM például kifejezetten arra lett tervezve, hogy kezelheti és automatizálhatja a feladatokat nagy eszközflottákonZökkenőmentesen integrálja a PowerShell szkriptek végrehajtását a platformjába. A konfigurációtól függően ezeket a képességeket akkor is kihasználhatja, ha a helyi fiókja nem rendszergazdai, így bizonyos vezérlési lehetőségeket delegálhat a távoli felügyeleti rendszerre.

PowerShell szkriptek IIS-hez, adatbázisokhoz és webes telepítéshez

Az IIS-en webes alkalmazásokat üzemeltető szervereken a Web Deploy 2.1-es verziója PowerShell-szkripteket tartalmaz, amelyek jelentősen leegyszerűsítik a folyamatot. webhelyek előkészítése közzétételre a Web Deploy használatávalBár a kezdeti beállításhoz általában szerveradminisztrátori jogosultságok szükségesek, érdemes ismerkedni ezekkel, mivel ezek számos automatizált telepítési infrastruktúra részét képezik.

A fő szkriptek a következők:

• SetupSiteForPublish.ps1: létrehoz vagy konfigurál egy IIS-webhelyet, egy nem rendszergazdai jogosultságú telepítési felhasználót és egy közzétételi profilfájlt (.publishsettings).
• CreateSqlDatabase.ps1: létrehoz egy SQL Server adatbázist, egy bejelentkezési nevet és egy db_owner jogosultságokkal rendelkező felhasználót, majd hozzáadja a kapcsolati karakterláncot a közzétételi fájlhoz.
• CreateMySqlDatabase.ps1: ugyanezt teszi, de MySQL esetén létrehoz egy adatbázist és egy felhasználót, akinek jogosultságai vannak hozzá.
• AddDelegationRules.ps1: Konfigurálja a delegálási szabályokat az IIS-ben, hogy a Web Deploy megfelelően működjön a delegált környezetekben.

A script SetupForPublishPéldául azonnal csatlakoztathat egy WDeploySite nevű webhelyet egy elérhető portra (8080 és 8200 között), létrehozhat egy hozzá tartozó alkalmazáskészletet, és létrehozhat egy helyi, nem rendszergazdai felhasználót (WDeploySiteuser), aki rendelkezik a webhely fizikai könyvtárához szükséges engedélyekkel és az IIS-ben való használathoz szükséges engedélyekkel. Az összes információt egy .publishsettings fájlban menti a rendszer, amelyet olyan eszközök használhatnak, mint a WebMatrix vagy a Visual Studio.

Az adatbázis-szkriptek hozzáadják ehhez a profilhoz a következőket: SQL Server vagy MySQL kapcsolati karakterláncokbejelentkezési adatok és jelszavakkal rendelkező felhasználók létrehozása is (amelyek automatikusan generálhatók vagy manuálisan is megadhatók a szkripthívásban). Bár ezeket az eszközöket privilegizált telepítések szem előtt tartásával tervezték, filozófiájuk illeszkedik a következő elképzeléshez: minden alkalmazásnak és folyamatnak a szükséges minimális hozzáférést kell biztosítaniaz adminisztrátori fiókok és a közzétételi fiókok egyértelmű elkülönítése.

Ajánlott gyakorlatok a PowerShell-szkriptek biztonságához és teljesítményéhez

Bármely automatizálási stratégiának, különösen, ha rendszergazdai jogosultságok nélkül valósítják meg, számos elemre kell támaszkodnia: jó biztonsági és teljesítménybeli gyakorlatok hogy középtávon elkerüljük a problémákat.

Néhány fontos tipp:

• Szkriptek tervezése a legkisebb jogosultságok elvének felhasználásával: hogy minden szkript csak a szigorúan szükséges erőforrásokat érinti, és hogy a futtató fiók (általános jogú felhasználó, szolgáltatásfiók stb.) csak a legszükségesebb jogosultságokkal rendelkezik.
• Bizalmas szkriptek aláírása és olyan végrehajtási szabályzatokat használjon, amelyek legalább az internetről letöltött vagy a vállalati hálózaton megosztott szkriptek aláírását megkövetelik.
• Védje a hitelesítő adatokat és a bizalmas információkatkerüljük a sima szövegként, szkriptekben történő tárolásukat, és inkább biztonságos tárolást, titkosított környezeti változókat vagy megoldásokat alkalmazzunk szinkronizálja és titkosítsa a másolatokat a felhőben ahol indokolt.
• Robusztus hibakezelés megvalósításaHasználj try/catch blokkokat, naplózd a hibákat, és ha lehetséges, küldj riasztásokat, ha valami kritikus hiba történik.
• A teljesítmény optimalizálása: függvények és modulok újrafelhasználása, felesleges ciklusok minimalizálása, natív cmdletek használata, amikor csak lehetséges, és különböző megközelítések tesztelése a végrehajtási idők csökkentése érdekében.
• Ütemezett feladatok figyelése és auditálása: Rendszeresen tekintse át a Feladatütemező előzményeit, eseménynaplóit és a szkriptek által generált naplófájlokat a rendellenes viselkedés vagy az ismétlődő hibák észlelése érdekében.
• Mindig fejlesztői vagy tesztelési környezetben tesztelj mielőtt egy új feladatot vagy szkriptet éles környezetben implementálna, különösen akkor, ha kritikus rendszerekkel vagy bizalmas adatokkal kommunikál.

Mindezt szem előtt tartva egy nagyon hatékony PowerShell automatizálási ökoszisztéma építhető fel, amelyet ütemezett feladatok és távoli eszközök támogatnak, ahol Az infrastruktúra csak kis része igényel magas jogosultságú fiókokat A többit pedig a szokásos vagy nagyon korlátozott szolgáltatást nyújtó felhasználók kezelhetik. A végrehajtási kontextusok, a szkriptek tervezésének és az engedélyek kezelésének gondos megtervezésével tökéletesen automatizálható a Windows és a Microsoft 365 napi munka nagy része anélkül, hogy folyamatosan a rendszergazdai fiókra kellene támaszkodni.

Kapcsolódó cikk:

Előtelepített alkalmazások és feltöltőprogramok eltávolítása a PowerShell használatával Windows 10 és 11 rendszeren

Izsák

Szenvedélyes író a bájtok és általában a technológia világáról. Szeretem megosztani tudásomat írásban, és ezt fogom tenni ebben a blogban, megmutatom a legérdekesebb dolgokat a kütyükről, szoftverekről, hardverekről, technológiai trendekről stb. Célom, hogy egyszerű és szórakoztató módon segítsek eligazodni a digitális világban.