Automatizácia v PowerShell bez administrátorských oprávnení

Ak vás zaujíma ako Automatizujte úlohy v PowerShelle bez toho, aby ste boli administrátoromNie ste sami. Je to veľmi bežný scenár: potrebujete spúšťať skripty, plánovať čistenie, generovať správy alebo spravovať Microsoft 365, ale nemáte zvýšené oprávnenia na počítači alebo ich jednoducho nechcete používať z bezpečnostných dôvodov.

Dobrou správou je, že oboznámením sa s nástrojmi, ktoré systém Windows ponúka (PowerShell, Plánovač úloh a niektoré možnosti príkazového riadka), môžete nastaviť systém pomerne výkonná automatizácia bez dotyku administrátorského účtuJe však nevyhnutné pochopiť kontext, v ktorom sa skripty vykonávajú, obmedzenia, ktoré máte bez zvýšených privilégií, a ako všetko nakonfigurovať tak, aby sa predišlo zlyhaniu pri prvej príležitosti.

Spustite PowerShell bez administrátorských práv

Predtým, ako sa ponoríme do pokročilej automatizácie, je dôležité pochopiť, ako... Otvorte PowerShell bez zvýšených oprávnení Aj keď sa zdá, že systém Windows vás neustále nabáda k možnosti „Spustiť ako správca“, v mnohých firemných alebo zdieľaných prostrediach to jednoducho nie je možné.

Existuje veľmi užitočný trik založený na príkaze runas Toto vám umožňuje spustiť reláciu PowerShell s obmedzenou úrovňou dôveryhodnosti, čo je ideálne na prácu bez zvýšenia oprávnení, aj keď váš používateľský účet tieto oprávnenia má. Postupujte podľa týchto základných krokov:

1. Otvorte príkazový riadok (cmd) v normálnom režime, bez použitia funkcie „Spustiť ako správca“.

2. V okne cmd zadajte tento príkaz a stlačte Enter:

runas /trustlevel:0x20000 powershell

Tento príkaz spustí novú reláciu PowerShellu pod obmedzenejšia úroveň dôveryToto vám pomôže vyhnúť sa určitým problémom, keď niečo nefunguje správne v konzole s oprávneniami. Klasickým príkladom je inštalácia používateľských nástrojov, ako napríklad okoreniťAk sa ho pokúsite stiahnuť alebo nakonfigurovať z relácie PowerShell s oprávneniami správcu, proces môže zlyhať, zatiaľ čo z relácie s bežnými oprávneniami to funguje bez problémov.

Tento prístup veľmi dobre zapadá do filozofie najmenšie privilégiumPovolenia zvyšujete iba v nevyhnutných prípadoch a väčšinu automatizácie nechávate bežať v rovnakom kontexte, aký by používal štandardný alebo každodenný pracovný používateľ.

PowerShell ako základ modernej automatizácie

PowerShell je oveľa viac než len modrá konzola: je to automatizačný rámec a skriptovací jazyk Je určený na správu systémov Windows a v najnovších verziách (PowerShell Core) aj Linux a macOS. Funguje s cmdlets (špecializované príkazy), objektmi a prepojovačmi, čo vám umožňuje vytvárať zložité úlohy z veľmi malých, opakovane použiteľných častí.

Rozdiel oproti klasickému príkazovému riadku je obrovský: s PowerShellom môžete reťazenie príkazov, manipulácia s objektmi, dotazovanie protokolov, služby, IIS, SQL, Microsoft 365 a prakticky akýkoľvek produkt spoločnosti Microsoft alebo tretej strany, ktorý má kompatibilné moduly. Vďaka tomu je ideálnym nástrojom na automatizáciu všetkého od jednoduchého čistenia dočasných súborov až po kompletné nasadenie webových aplikácií.

Je dôležité rozlišovať medzi PowerShell (prostredie) a Skript PowerShelluProstredie je konzola alebo terminál, kde zadávate interaktívne príkazy, zatiaľ čo skript je súbor .ps1, ktorý obsahuje usporiadanú postupnosť inštrukcií, podmienok, funkcií a premenných vytvorených na vykonávanie opakujúcich sa úloh bez nutnosti zadávať všetko zakaždým.

Tieto skripty PowerShellu sú základom, na ktorom sú postavené mnohé. Stratégie automatizácie IThromadná správa používateľov, nasadenie aktualizácií, monitorovanie systému, automatické generovanie správ, pravidelné úlohy čistenia atď. A čo je najlepšie, mnohé z týchto scenárov je možné spustiť bez priameho prístupu k lokálnemu účtu správcu, pokiaľ sa skript dotkne iba zdrojov, ku ktorým už má váš používateľ prístup.

Konfigurácia prostredia PowerShell a politík vykonávania

Pre bezproblémové fungovanie automatizácie je potrebné mať kontrolu nad tým, ako sa automatizácia správa. Politika vykonávania PowerShelluTáto politika definuje, ktoré skripty je možné spustiť a odkiaľ, a zvyčajne je prvou prekážkou, s ktorou sa každý stretne pri začatí automatizácie.

Najbežnejšie implementačné politiky sú:

• obmedzenýToto je predvolené nastavenie v mnohých inštaláciách. Povolené sú iba interaktívne príkazy; skripty .ps1 sú blokované. Je to najbezpečnejšia možnosť, ale v praxi... Zabraňuje akejkoľvek automatizácii založenej na skriptoch.
• Všetko podpísanéSpustiť je možné iba skripty digitálne podpísané dôveryhodným vydavateľom. Toto je vhodné pre prostredia, kde chcete prísna kontrola nad kódom ktorý beží v tímoch.
• RemoteSignedSkripty stiahnuté z internetu alebo vzdialených lokalít musia byť podpísané, ale nepodpísané lokálne skripty je možné spustiť. Toto je pomerne vyvážená politika a veľmi bežná v podnikových prostrediach.
• neobmedzený: umožňuje spustenie ľubovoľného skriptu, či už podpísaného alebo nie. Neodporúčané pre produkciu, pretože to vystavuje systém vysokému riziku.

Svoje aktuálne pravidlá si môžete overiť pomocou:

Get-ExecutionPolicy

A upravte ho (ak má váš účet na to povolenia) pomocou Set-ExecutionPolicy, napríklad:

Set-ExecutionPolicy RemoteSigned

Ak nie ste administrátor, možno nebudete môcť zmeniť politiku na úrovni počítača, ale môžete ju upraviť na úrovni používateľa alebo procesu v závislosti od konfigurácie vašej organizácie. V každom prípade pri plánovaní automatizácie bez zvýšených oprávnení predpokladajte, že politika vykonávania Je to len ďalšie bezpečnostné obmedzenie, s ktorým musíte žiť. a podľa toho navrhnite svoje skripty.

Jednoduché vytváranie a úprava skriptov PowerShellu

Hoci skripty môžete písať v ľubovoľnom textovom editore, je oveľa pohodlnejšie používať nástroje s zvýrazňovanie syntaxe a vývojové pomôckynajmä s rastúcim počtom skriptov, ktoré začínajú obsahovať funkcie, moduly a zložitú logiku.

Najbežnejšie možnosti práce so skriptami PowerShellu sú:

• Visual Studio Code (VS Code)Dnes je to možnosť odporúčaná spoločnosťou Microsoft. Je bezplatná, nenáročná a s nainštalovaným oficiálnym rozšírením PowerShell ponúka automatické dopĺňanie (IntelliSense), ladenie krok za krokom, úryvky kódu, integráciu s Gitom a integrovaný terminál.
• PowerShell ISEToto je klasické integrované prostredie, ktoré je súčasťou Windows PowerShell 5.1 a starších verzií. Hoci sa v porovnaní s VS Code považuje za staršie, stále sa široko používa v mnohých prostrediach.
• Poznámkový blok alebo iné jednoduché editory: vhodné pre malé alebo rýchle skripty, hoci stratíte mnoho užitočných funkcií, ktoré uľahčujú život, keď sa kód skomplikuje.

Vo všetkých prípadoch je základný postup podobný: vytvoríte nový súbor, napíšete kód PowerShellu a uložíte ho s príponou . .ps1 a potom ho spustíte z konzoly. Napríklad, ak skript uložíte do C:\Scripts\MiScript.ps1Môžete ho spustiť z PowerShellu takto:

& "C:\Scripts\MiScript.ps1"

Aby ste toto všetko zladili s automatizáciou, budete musieť premýšľať o Ako sa bude ten skript volať naprogramovaným spôsobom? bez použitia administrátorských oprávnení, čo uvidíme neskôr s Plánovačom úloh.

Automatizácia pomocou Plánovača úloh systému Windows a PowerShellu

Plánovač úloh systému Windows je nástroj, ktorý vám umožňuje automaticky spúšťať skripty PowerShellu podľa plánov, udalostí alebo systémových podmienok. Hoci mnoho príručiek ho používa pre úlohy s oprávneniami správcu, je tiež dokonale platný pre automatizáciu v štandardnom používateľskom kontexte za predpokladu, že úloha je nakonfigurovaná s príslušným účtom.

Knižnica Plánovač úloh organizuje všetky úlohy do priečinkov a pre každú z nich ponúka niekoľko kľúčových kariet:

• všeobecnýnázov, popis, účet, pod ktorým sa spúšťa, a možnosti zabezpečenia (napríklad, či sa spúšťa aj v prípade, že používateľ nie je prihlásený).
• Spúšťače: určuje, kedy sa úloha spustí: po prihlásení, po zapnutí počítača, každý deň, v konkrétnom čase, pri výskyte udalosti atď.
• Akcie: definuje, čo úloha robí po spustení, zvyčajne spustenie programu, čo bude v tomto prípade powershell.exe s príslušnými argumentmi.
• Podmienky: umožňuje jemné doladenie spustenia: iba ak je počítač zapojený, ak je nejaký čas neaktívny, ak sieť spĺňa určité charakteristiky atď.
• nastavenie: ďalšie nastavenia, ako napríklad povolenie spustenia na požiadanie, opakované pokusy v prípade zlyhania, zastavenie, ak trvá príliš dlho, správanie, ak už spustené atď.
• História: zaznamenáva spustenia, chyby a upozornenia, veľmi užitočné pri ladení, keď niečo nefunguje tak, ako by malo.

Ak chcete spustiť skript PowerShell z Plánovača úloh, typický vzor na karte Akcie je:

• Program / script: powershell.exe
• Pridať argumentyNiečo také -File C:\Scripts\MiScript.ps1pridanie ďalších parametrov v prípade potreby, ako napr. -ExecutionPolicy Bypass o -NoExit podľa vašich potrieb.
• Začínať o: voliteľné, adresár, kde sa skript nachádza, ak sa spoliehate na relatívne cesty.

Použitím štandardného používateľského účtu ako účtu na vykonávanie úloh (na karte Všeobecné) sa skript spustí s rovnaké oprávnenia, aké máte vy Keď sa prihlásite, dokonale to zodpovedá predpokladu automatizácie bez toho, aby ste boli administrátorom. Ak však skript vyžaduje prístup k častiam systému vyhradeným pre administrátorov, zlyhá, preto je nevyhnutné navrhnúť každú úlohu s ohľadom na dostupný bezpečnostný kontext.

Výhody automatizácie pomocou Plánovača úloh a PowerShellu

Kombinácia Plánovača úloh so skriptami PowerShellu ponúka presvedčivý súbor výhod, a to aj bez zvýšených privilégií. Medzi kľúčové výhody patria:

• Úspora časuOpakujúce sa úlohy, ako napríklad čistenie, vytváranie prehľadov alebo export údajov, sa spúšťajú automaticky, keď robíte niečo iné, alebo dokonca aj pri zatvorenej relácii (ak je úloha na to nakonfigurovaná).
• konzistenciaSkript vždy robí presne to isté, v rovnakom poradí, bez akýchkoľvek chýb, čo znižuje mieru ľudskej chyby.
• spoľahlivosťMôžete si naplánovať pravidelné rutiny (denné, týždenné, mesačné), ktoré udržia systém alebo vaše údaje v dobrom stave, a to aj bez manuálneho zásahu.
• Efektívnosť zdrojovJe jednoduché naplánovať skripty na hodiny mimo špičky, čím sa predíde vplyvu na výkon počas špičky.
• flexibilitaspúšťače založené na čase, prihlásení, spustení systému alebo udalostiach umožňujú automatizácie vysoko prispôsobené vášmu prostrediu.
• spracovanie chýbMôžete nakonfigurovať opakované pokusy, zaznamenávať výstup PowerShellu, odosielať e-maily alebo zapisovať konkrétne udalosti, keď niečo zlyhá.
• zabezpečeniaSpúšťaním skriptov s obmedzenými používateľskými účtami znižujete riziko, že chyba skriptu spôsobí vážne poškodenie systému. Úlohy so širšími povoleniami používajte iba v nevyhnutných prípadoch.

Pre pokročilú automatizáciu vo veľkých sieťach ponúka PowerShell ešte viac možností: s dobre navrhnutými plánovanými úlohami môžete reťazenie zložitých pracovných postupov, organizovať úlohy naprieč rôznymi počítačmi a automaticky reagovať na konkrétne udalosti.

Praktické príklady automatizácie s PowerShellom

Keď už máte jasný rámec, to, čo skutočne robí rozdiel, je konkrétne skripty, ktoré spúšťateToto sú niektoré veľmi bežné scenáre, v ktorých PowerShell vyniká, a to ako v jednotlivých tímoch, tak aj vo väčších prostrediach.

Správa Microsoft 365 pomocou PowerShellu

V prostredí Microsoft 365 sa PowerShell stal hlavným nástrojom pre hromadne spravovať používateľov, licencie a službySo správnymi modulmi sa môžete prepojiť so svojím nájomníkom a automatizovať veľkú časť dennej práce, ako napríklad Migrácia používateľských profilov a balíka OfficeNa začiatok sa zvyčajne používa klasický modul MSOnline (hoci v súčasnosti sú bežnejšie moduly Microsoft Graph a moderný modul Exchange Online). Základný pracovný postup by bol:

1. Nainštalujte potrebné moduly (napríklad z relácie PowerShell s oprávneniami na inštaláciu modulov):
   Install-Module -Name PowerShellGet -Force -AllowClobber
Install-Module -Name MSOnline
2. Pripojte sa k službe pomocou svojich prihlasovacích údajov správcu služby Microsoft 365:
   Connect-MsolService

Odtiaľ môžete automatizovať úlohy, ako napríklad:

• Hromadná registrácia používateľov zo súboru CSV, priradenie hesiel a vlastností profilu.
• Zmeny v členstve v skupine na základe pravidiel (napríklad presunutie používateľov do konkrétnych bezpečnostných skupín).
• Automatická deaktivácia neaktívnych účtov na základe kritérií, ako je dátum poslednej zmeny hesla alebo dátum prihlásenia.
• Generovanie periodických správ týkajúce sa aktivity používateľov, používaných licencií alebo stavu zabezpečenia.

Tieto skripty je možné spustiť manuálne z konzoly s príslušnými povoleniami v Microsoft 365 alebo ich integrovať do naplánovaných úloh na serveri správy. Hoci správa nájomníkov vyžaduje účet s vysokými povoleniami v cloude, počítač, z ktorého skript spúšťate... Nepotrebujete nevyhnutne lokálny administrátorský účetza predpokladu, že si môžete nainštalovať moduly a pripojiť sa k vzdialeným službám.

Automatizácia lokálnej údržby

Na bežných počítačoch so systémom Windows, dokonca aj so štandardným účtom, môžete vytvárať skripty na:

• Zálohovanie používateľských priečinkov cez kópie a synchronizácia na iný disk alebo do sieťového umiestnenia, ku ktorému máte prístup.
• Vyčistite dočasné súbory a bloatware v cestách profilu, vyrovnávacích pamätiach aplikácií alebo protokoloch, ktoré nevyžadujú oprávnenia správcu.
• Zaznamenávanie využitia disku, procesora alebo pamäte Z pohľadu vášho účtu, generovanie prehľadov v adresári, do ktorého môžete zapisovať.
• Preskúmajte interné procesy alebo používateľské služby, ktoré nevyžadujú zvýšené oprávnenia na kontrolu svojho stavu.

Tieto skripty v kombinácii s Plánovačom úloh spusteným pod vaším používateľským účtom vám umožňujú nastaviť základná údržba a monitorovací postup Veľmi praktické, aj keď vám IT oddelenie neposkytuje administrátorský prístup.

Vzdialková automatizácia so Splashtopom a ďalšími systémami

V prostrediach, kde sa práca vykonáva na diaľku, sa používajú nástroje ako napr. Splashtop Pridávajú ďalšiu zaujímavú vrstvu. Tento typ riešenia poskytuje bezpečný vzdialený prístup k zariadeniam a v niektorých prípadoch aj špecifické funkcie pre:

• Hoď príkazové riadky alebo vzdialené konzoly PowerShell bez nutnosti spustiť celú reláciu počítača.
• Spúšťajte skripty PowerShellu na viacerých koncových bodoch súčasne s ovládacími prvkami auditu a centralizovaným plánovaním.
• Aplikujte politiky, nasadzujte záplaty alebo nápravné skripty na skupiny počítačov bez obsluhy.

Napríklad Splashtop AEM je špeciálne navrhnutý tak, aby spravovať a automatizovať úlohy naprieč rozsiahlymi skupinami zariadeníBezproblémovo integruje vykonávanie skriptov PowerShellu do svojej platformy. V závislosti od vašej konfigurácie môžete tieto funkcie využiť, aj keď váš lokálny účet nie je administrátorský, a delegovať tak časť kontroly na systém vzdialenej správy.

Skripty PowerShellu pre IIS, databázy a Web Deploy

Na serveroch hosťujúcich webové aplikácie v službe IIS obsahuje Web Deploy verzie 2.1 sadu skriptov PowerShellu, ktoré výrazne zjednodušujú proces. príprava stránok na publikovanie pomocou služby Web DeployHoci sú na počiatočné nastavenie zvyčajne potrebné oprávnenia správcu servera, je užitočné sa s nimi oboznámiť, pretože sú súčasťou mnohých automatizovaných infraštruktúr nasadenia.

Hlavné skripty sú:

• NastavenieSiteForPublish.ps1: vytvára alebo konfiguruje lokalitu IIS, používateľa nasadenia bez administrátorských oprávnení a súbor publikačného profilu (.publishsettings).
• CreateSqlDatabase.ps1: vytvorí databázu SQL Servera, prihlasovacie meno a používateľa s oprávneniami db_owner a pridá reťazec pripojenia do publikačného súboru.
• VytvoriťMojuSqlDatabázu.ps1: robí to isté, ale pre MySQL, vytvára databázu a používateľa s oprávneniami na ňu.
• AddDelegationRules.ps1Konfigurácia pravidiel delegovania v službe IIS umožní správne fungovanie služby Web Deploy v delegovaných prostrediach.

Scenár Nastavenie stránky na publikovanieNapríklad dokáže okamžite pripojiť stránku s názvom WDeploySite na dostupný port (medzi 8080 a 8200), vytvoriť priradený fond aplikácií a vygenerovať lokálneho používateľa bez administrátorských oprávnení (WDeploySiteuser) s oprávneniami na fyzický adresár stránky a potrebnými oprávneniami v službe IIS. Všetky informácie sú uložené v súbore .publishsettings, ktorý môžu používať nástroje ako WebMatrix alebo Visual Studio.

Databázové skripty pridávajú do tohto profilu Reťazce pripojenia k SQL Serveru alebo MySQLtiež vytváranie prihlasovacích mien a konkrétnych používateľov s heslami (ktoré je možné vygenerovať automaticky alebo definovať manuálne vo volaní skriptu). Hoci tieto nástroje boli navrhnuté s ohľadom na privilegované nasadenia, ich filozofia zodpovedá myšlienke poskytnúť každej aplikácii a každému procesu minimálny potrebný prístupjasné oddelenie administratívnych účtov a publikačných účtov.

Najlepšie postupy pre zabezpečenie a výkon v skriptoch PowerShellu

Akákoľvek automatizačná stratégia, najmä ak je implementovaná bez administrátorských oprávnení, sa musí spoliehať na sériu krokov osvedčené postupy v oblasti bezpečnosti a výkonu aby sa predišlo problémom v strednodobom horizonte.

Niektoré kľúčové tipy sú:

• Navrhujte skripty s použitím princípu najmenších privilégiíže každý skript sa dotýka iba nevyhnutne potrebných zdrojov a že účet, ktorý ho spúšťa (štandardný používateľ, servisný účet atď.), má iba nevyhnutné povolenia.
• Podpisovanie citlivých skriptov a používať politiky vykonávania, ktoré vyžadujú podpisovanie aspoň pre skripty stiahnuté z internetu alebo zdieľané v firemnej sieti.
• Chráňte prihlasovacie údaje a citlivé informácievyhýbanie sa ich ukladaniu v obyčajnom texte v skriptoch a uchyľovanie sa k bezpečnému úložisku, šifrovaným premenným prostredia alebo riešeniam pre synchronizovať a šifrovať kópie v cloude kde je to vhodné.
• Implementujte robustné spracovanie chýbPoužívajte bloky try/catch, zaznamenávajte chyby a ak je to možné, odosielajte upozornenia, keď dôjde k kritickému zlyhaniu.
• Optimalizujte výkonOpätovne používať funkcie a moduly, minimalizovať nepotrebné slučky, pracovať s natívnymi cmdlets vždy, keď je to možné, a testovať rôzne prístupy na skrátenie časov vykonávania.
• Monitorovanie a auditovanie naplánovaných úlohPravidelne kontrolujte históriu Plánovača úloh, protokoly udalostí a súbory protokolov generované skriptmi, aby ste zistili anomálne správanie alebo opakujúce sa zlyhania.
• Vždy testujte vo vývojovom alebo testovacom prostredí pred implementáciou novej úlohy alebo skriptu v produkčnom prostredí, najmä ak interaguje s kritickými systémami alebo citlivými údajmi.

S ohľadom na toto všetko je možné vybudovať veľmi schopný automatizačný ekosystém PowerShellu, podporovaný plánovanými úlohami a vzdialenými nástrojmi, kde Len malá časť infraštruktúry vyžaduje vysoko privilegované účty a zvyšok môžu spracovať štandardní alebo veľmi obmedzení používatelia služieb. Starostlivým plánovaním kontextov vykonávania, návrhu skriptov a správy povolení je úplne možné automatizovať veľkú časť dennej práce v systéme Windows a Microsoft 365 bez neustáleho spoliehania sa na účet správcu.

Súvisiaci článok:

Ako odinštalovať predinštalované aplikácie a bloatware pomocou PowerShellu v systéme Windows 10 a 11

Isaac

Vášnivý spisovateľ o svete bajtov a technológií všeobecne. Milujem zdieľanie svojich vedomostí prostredníctvom písania, a to je to, čo urobím v tomto blogu, ukážem vám všetko najzaujímavejšie o gadgetoch, softvéri, hardvéri, technologických trendoch a ďalších. Mojím cieľom je pomôcť vám orientovať sa v digitálnom svete jednoduchým a zábavným spôsobom.