- PowerShell омогућава веома моћну аутоматизацију чак и са налозима без администраторских привилегија, под условом да су скрипте дизајниране имајући у виду расположиви безбедносни контекст.
- Windows Task Scheduler је кључ за аутоматско покретање PowerShell скрипти, контролу распореда, услова и броја извршења.
- Правилна конфигурација политика извршавања, минималних дозвола и потписивања скрипти смањује ризике и чини аутоматизацију безбедном и одрживом.
- Комбиновањем PowerShell-а, заказаних задатака и удаљених алата, можете покрити све, од једноставних локалних задатака до напредног управљања Microsoft 365 и IIS-ом.
Ако се питате како Аутоматизујте задатке у PowerShell-у без потребе да будете администраторНисте сами. То је веома чест сценарио: потребно је да покрећете скрипте, заказујете чишћења, генеришете извештаје или управљате Microsoft 365, али немате повишена права на машини или једноставно не желите да их користите из безбедносних разлога.
Добра вест је да, упознавањем са алатима које Windows нуди (PowerShell, Task Scheduler и неке опције командне линије), можете подесити систем од прилично моћна аутоматизација без додиривања администраторског налогаМеђутим, неопходно је разумети контекст у којем се скрипте извршавају, ограничења која имате без повећаних привилегија и како све конфигурисати да би се спречио квар при првој прилици.
Покрените PowerShell без администраторских права
Пре него што се позабавимо напредном аутоматизацијом, важно је разумети како Отворите PowerShell без повећаних привилегија Иако се чини да вас Windows стално подстиче да „Покрени као администратор“, у многим корпоративним или дељеним окружењима ово једноставно није опција.
Постоји веома користан трик заснован на команди рунас Ово вам омогућава да покренете PowerShell сесију са ограниченим нивоом поверења, што је идеално за рад без повећања дозвола чак и ако ваш кориснички налог има те привилегије. Да бисте то урадили, једноставно пратите ове основне кораке:
-
Отворите командна линија (cmd) у нормалном режиму, без коришћења опције „Покрени као администратор“.
-
У цмд прозору откуцајте ову команду и притисните Ентер:
рунас /левел поверења:0к20000 повершел
Ова команда покреће нову PowerShell сесију под ограниченији ниво поверењаОво вам помаже да избегнете одређене проблеме када нешто не ради исправно у конзоли са повишеним привилегијама. Класичан пример је инсталирање корисничких алата као што су зачинитиАко покушате да га преузмете или конфигуришете из PowerShell сесије са администраторским правима, процес може да не успе, док из сесије са нормалним дозволама ради без проблема.
Овај приступ се веома добро уклапа у филозофију најмања привилегијаДозволе повећавате само када је то строго неопходно и остављате већину аутоматизације да ради у истим контекстима које би користио стандардни или свакодневни корисник.
PowerShell као темељ модерне аутоматизације
PowerShell је много више од обичне плаве конзоле: то је оквир за аутоматизацију и скриптни језик Дизајниран је за управљање Windows системима, а у најновијим верзијама (PowerShell Core), и Linux и macOS системима. Ради са cmdlet-овима (специјализованим командама), објектима и pipe-овима, омогућавајући вам да креирате сложене задатке од веома малих, вишекратно употребљивих делова.
Разлика у поређењу са класичном командном линијом је огромна: помоћу PowerShell-а можете уланчавање команди, манипулисање објектима, упитивање логова, сервиси, IIS, SQL, Microsoft 365 и практично сваки производ компаније Microsoft или треће стране који има компатибилне модуле. Због тога је идеалан алат за аутоматизацију свега, од једноставног чишћења привремених датотека до комплетног имплементирања веб апликација.
Важно је разликовати PowerShell (окружење) и а PowerShell скриптаОкружење је конзола или терминал где куцате интерактивне команде, док је скрипта .ps1 датотека која садржи уређени низ инструкција, услова, функција и променљивих креираних за обављање понављајућих задатака без потребе да сваки пут куцате све.
Ови PowerShell скриптови су темељ на коме су многи изграђени. Стратегије ИТ аутоматизације: масовно управљање корисницима, имплементација ажурирања, праћење система, аутоматско генерисање извештаја, периодични задаци чишћења итд. И, што је најбоље од свега, многи од ових сценарија могу се покренути без директног приступа локалном администраторском налогу, све док скрипта додирује само ресурсе којима ваш корисник већ има приступ.
Конфигуришите PowerShell окружење и политике извршавања
Да би аутоматизација функционисала глатко, неопходно је имати контролу над тим како се аутоматизација понаша. Политика извршавања PowerShell-аОва политика дефинише које скрипте се могу покренути и одакле, и обично је прва препрека на коју се свако сусреће када почиње са аутоматизацијом.
Најчешће политике имплементације су:
- ОграниченОво је подразумевано подешавање у многим инсталацијама. Дозвољене су само интерактивне команде; .ps1 скрипте су блокиране. То је најбезбеднија опција, али у пракси, Спречава било какву аутоматизацију засновану на скриптама.
- АллСигнедМогу се извршити само скрипте дигитално потписане од стране поузданог издавача. Ово је погодно за окружења у којима желите строга контрола над кодом који се одвија у тимовима.
- РемотеСигнедСкрипте преузете са интернета или удаљених локација морају бити потписане, али непотписане локалне скрипте могу бити извршене. Ово је прилично уравнотежена политика и веома честа у корпоративним окружењима.
- Неограничено: омогућава извршавање било које скрипте, било да је потписана или не. Не препоручује се за производњу јер излаже систем високом ризику.
Можете проверити своју тренутну политику помоћу:
Get-ExecutionPolicy
И измените га (ако ваш налог има дозволе за то) користећи Сет-ЕкецутионПолици, на пример:
Set-ExecutionPolicy RemoteSigned
Ако нисте администратор, можда нећете моћи да промените политику на нивоу машине, али можете је прилагодити на нивоу корисника или процеса, у зависности од конфигурације ваше организације. У сваком случају, када планирате аутоматизацију без повећаних привилегија, претпоставите да је политика извршавања То је само још једно безбедносно ограничење са којим морате да живите. и дизајнирајте своје скрипте у складу са тим.
Лако креирајте и уређујте PowerShell скрипте
Иако можете писати скрипте у било ком уређивачу текста, много је практичније користити алате са истицање синтаксе и помоћна средства за развојпосебно како скрипте расту и почињу да укључују функције, модуле и сложену логику.
Најчешће опције за рад са PowerShell скриптама су:
- Висуал Студио Цоде (ВС Цоде)Данас је то опција коју препоручује Мајкрософт. Бесплатна је, лагана и, са инсталираним званичним PowerShell проширењем, нуди аутоматско довршавање (IntelliSense), корак-по-корак дебаговање, исечке кода, Git интеграцију и интегрисани терминал.
- ПоверСхелл ИСЕОво је класично интегрисано окружење које долази са Windows PowerShell-ом 5.1 и старијим верзијама. Иако се сматра застарелим у поређењу са VS Code-ом, и даље се широко користи у многим окружењима.
- Бележница или други једноставни уређивачи: погодно за мале или брзе скрипте, иако губите многе корисне функције које олакшавају живот када се код компликује.
У свим случајевима, основни ток је сличан: креирате нову датотеку, напишете PowerShell код и сачувате је са екстензијом . ПсКСНУМКС. а затим га покрећете из конзоле. На пример, ако сачувате скрипту у C:\Scripts\MiScript.ps1Можете га покренути из PowerShell-а тако што ћете урадити:
& "C:\Scripts\MiScript.ps1"
Да бисте све ово уклопили са аутоматизацијом, мораћете да размислите о Како ће се та скрипта звати на програмски начин? без коришћења администраторских привилегија, нешто што ћемо касније видети са Планером задатака.
Аутоматизујте помоћу Windows Task Scheduler-а и PowerShell-а
Windows Task Scheduler је алат који вам омогућава да аутоматски покреће PowerShell скрипте према распоредима, догађајима или системским условима. Иако га многи водичи користе за задатке са администраторским привилегијама, он је такође савршено валидан за аутоматизацију у стандардном корисничком контексту, под условом да је задатак конфигурисан са одговарајућим налогом.
Библиотека Планера задатака организује све задатке у фасцикле и за сваку од њих нуди неколико кључних картица:
- Опште: име, опис, налог под којим се покреће и безбедносне опције (на пример, да ли се покреће чак и ако корисник није пријављен).
- Окидачи: одређује када се задатак покреће: приликом пријављивања, приликом укључивања рачунара, сваког дана, у одређено време, када се деси догађај итд.
- Акције: дефинише шта задатак ради када се покрене, обично покретање програма, што ће у овом случају бити поверсхелл.еке са одговарајућим аргументима.
- Услови: омогућава вам фино подешавање када ради: само ако је рачунар укључен, ако је неактиван неко време, ако мрежа испуњава одређене карактеристике итд.
- Подешавања: додатна подешавања као што су омогућавање извршавања на захтев, поновни покушаји ако не успе, заустављање ако траје предуго, понашање ако је већ покренуто итд.
- Историја: евидентира извршавања, грешке и упозорења, веома корисно за дебаговање када нешто не ради како треба.
Да бисте покренули PowerShell скрипту из Планера задатака, типичан образац на картици Акције је:
- Програм / сцрипт:
powershell.exe - Додај аргументеНешто слично томе
-File C:\Scripts\MiScript.ps1додавање додатних параметара ако је потребно, као што је-ExecutionPolicy Bypasso-NoExitпрема вашим потребама. - Почни У: опционо, директоријум где се налази скрипта ако зависите од релативних путања.
Коришћењем стандардног корисничког налога као налога за извршавање задатка (на картици Опште), скрипта ће се покренути са исте дозволе које имате Када се пријавите, ово се савршено уклапа у претпоставку аутоматизације без администраторских права. Међутим, ако скрипта захтева приступ деловима система резервисаним за администраторе, неће успети, па је кључно да се сваки задатак дизајнира имајући у виду доступни безбедносни контекст.
Предности аутоматизације помоћу Планера задатака и ПоверСхелла
Комбиновање Планера задатака са PowerShell скриптама нуди убедљив скуп предности, чак и без повећаних привилегија. Неке кључне предности укључују:
- Уштеда временаПонављајући задаци као што су чишћење, извештавање или извоз података се аутоматски извршавају док радите нешто друго или чак и док је сесија затворена (ако је задатак конфигурисан за то).
- ДоследностСкрипта увек ради потпуно исту ствар, истим редоследом, без икаквих грешака, што смањује могућност људске грешке.
- ПоузданостМожете заказати редовне рутине (дневно, недељно, месечно) које одржавају систем или ваше податке у добром стању, чак и без ручне интервенције.
- Ефикасност ресурсаЛако је заказати скрипте за ван шпица, избегавајући утицај на перформансе током шпица.
- ФлексибилностОкидачи засновани на времену, пријављивању, покретању система или догађајима омогућавају аутоматизације високо прилагођене вашем окружењу.
- Грешка руковањеМожете конфигурисати поновне покушаје, евидентирати PowerShell излаз, слати е-пошту или писати одређене догађаје када нешто не успе.
- БезбедностПокретањем скрипти са ограниченим корисничким налозима смањујете ризик од грешке скрипте која може проузроковати озбиљно оштећење система. Користите задатке са ширим дозволама само када је то апсолутно неопходно.
За напредну аутоматизацију у великим мрежама, PowerShell нуди још више могућности: са добро осмишљеним заказаним задацима можете повезивање сложених токова рада, оркестрирати задатке на различитим машинама и аутоматски реаговати на одређене догађаје.
Практични примери аутоматизације помоћу PowerShell-а
Када једном разјасните оквир, оно што заиста чини разлику јесте одређене скрипте које покрећетеОво су неки веома уобичајени сценарији у којима PowerShell блиста, како у појединачним тимовима, тако и у већим окружењима.
Управљање Microsoft 365 помоћу PowerShell-а
У оквиру Microsoft 365 окружења, PowerShell је постао главни алат за управљајте корисницима, лиценцама и услугама одједномСа правим модулима, можете се повезати са својим закупцем и аутоматизовати добар део свакодневног посла, као што је Мигрирајте корисничке профиле и OfficeЗа почетак, обично се користи класични MSOnline модул (мада су данас Microsoft Graph модул и модерни Exchange Online модул чешћи). Основни ток рада би био:
- Инсталирајте потребне модуле (на пример, из PowerShell сесије са дозволама за инсталирање модула):
Install-Module -Name PowerShellGet -Force -AllowClobber
Install-Module -Name MSOnline - Повежите се са услугом користећи своје администраторске акредитиве за Microsoft 365:
Connect-MsolService
Одатле можете аутоматизовати задатке као што су:
- Масовна регистрација корисника из CSV датотеке, додељујући лозинке и својства профила.
- Промене у чланству групе на основу правила (на пример, премештање корисника у одређене безбедносне групе).
- Аутоматска деактивација неактивних налога на основу критеријума као што су датум последње промене лозинке или датум пријаве.
- Генерисање периодичних извештаја у вези са активношћу корисника, лиценцама које се користе или безбедносним статусом.
Ове скрипте се могу ручно покренути из конзоле са одговарајућим дозволама у услузи Microsoft 365 или интегрисати у заказане задатке на серверу за управљање. Иако управљање закупцима захтева налог са високим дозволама у облаку, рачунар са којег покрећете скрипту... Није вам нужно потребан локални администраторски налогпод условом да можете инсталирати модуле и повезати се са удаљеним сервисима.
Локална аутоматизација одржавања
На конвенционалним Windows машинама, чак и са стандардним налогом, можете креирати скрипте за:
- Направи резервну копију корисничких фасцикли Медианте копије и синхронизација на други диск или на мрежну локацију где имате приступ.
- Очистите привремене датотеке и блоатвер у путањама вашег профила, кеш меморијама апликација или логовима који не захтевају администраторске дозволе.
- Снимање коришћења диска, процесора или меморије Из перспективе вашег налога, генерисање извештаја у директоријуму где можете да пишете.
- Прегледајте интерне процесе или корисничке сервисе којима нису потребна повишена права за проверу њиховог статуса.
Ови скриптови, у комбинацији са Планером задатака који се покреће под вашим корисничким налогом, омогућавају вам да подесите основна рутина одржавања и праћења Веома корисно чак и када вам ИТ одељење не даје администраторски приступ.
Даљинска аутоматизација са Splashtop-ом и другим системима
У окружењима где се рад обавља на даљину, алати као што су Спласхтоп Додају још један занимљив слој. Ова врста решења пружа безбедан даљински приступ опреми и, у неким случајевима, специфичне могућности за:
- Баци командне линије или удаљене PowerShell конзоле без потребе за покретањем комплетне сесије радне површине.
- Покрећите PowerShell скрипте на више крајњих тачака истовремено, са контролама ревизије и централизованим заказивањем.
- Примењујте политике, распоређујте закрпе или скрипте за санацију на групе рачунара без надзора.
На пример, Splashtop AEM је посебно дизајниран да управљајте и аутоматизујте задатке на великим количинама уређајаБеспрекорно интегрише извршавање PowerShell скрипти унутар своје платформе. У зависности од ваше конфигурације, можете искористити ове могућности чак и ако ваш локални налог није администраторски, делегирајући део контроле систему за даљинско управљање.
PowerShell скрипте за IIS, базе података и Web Deploy
На серверима који хостују веб апликације на IIS-у, Web Deploy верзија 2.1 укључује скуп PowerShell скрипти које знатно поједностављују процес. припрема сајтова за објављивање помоћу Web Deploy-аИако су за почетно подешавање обично потребне привилегије администратора сервера, вреди бити упознат са њима јер су део многих аутоматизованих инфраструктура за распоређивање.
Главни скриптови су:
- SetupSiteForPublish.ps1: креира или конфигурише IIS локацију, корисника за имплементацију који није администратор и датотеку профила за објављивање (.publishsettings).
- CreateSqlDatabase.ps1: креира SQL Server базу података, пријаву и корисника са дозволама db_owner и додаје стринг за повезивање у датотеку за објављивање.
- CreateMySqlDatabase.ps1: ради исто, али за MySQL, креира базу података и корисника са дозволама на њој.
- ДодајПравилаДелегирања.ps1Конфигуришите правила делегирања у IIS-у како бисте омогућили да Web Deploy исправно функционише у делегираним окружењима.
Скрипта Подешавање сајта за објављивањеНа пример, може одмах да монтира сајт под називом WDeploySite на доступан порт (између 8080 и 8200), креира повезани пул апликација и генерише локалног корисника који није администратор (WDeploySiteuser) са дозволама за физички директоријум сајта и потребним дозволама у IIS-у. Све информације се чувају у .publishsettings датотеци коју могу да користе алати попут WebMatrix-а или Visual Studio-а.
Скрипте базе података додају овом профилу Низови за повезивање са SQL Server-ом или MySQL-омтакође креирање пријавних имена и одређених корисника са лозинкама (које се могу генерисати аутоматски или ручно дефинисати у позиву скрипте). Иако су ови алати дизајнирани имајући у виду привилегована имплементирања, њихова филозофија се уклапа у идеју дајте свакој апликацији и сваком процесу минимални потребни приступјасно раздвајање административних налога и налога за објављивање.
Најбоље праксе за безбедност и перформансе у PowerShell скриптама
Било која стратегија аутоматизације, посебно када се имплементира без администраторских привилегија, мора се ослањати на низ добре безбедносне и ефикасне праксе како би се избегли проблеми на средњи рок.
Неки кључни савети су:
- Дизајнирајте скрипте користећи принцип најмањих привилегија: да свака скрипта додирује само строго неопходне ресурсе и да налог који је покреће (стандардни корисник, сервисни налог итд.) има само неопходне дозволе.
- Потписивање осетљивих скрипти и користите политике извршавања које захтевају потписивање барем за скрипте преузете са интернета или дељене на мрежи компаније.
- Заштитите акредитиве и осетљиве информацијеизбегавајући њихово чување у обичном тексту унутар скрипти и прибегавајући безбедном складиштењу, шифрованим променљивим окружења или решењима за синхронизујте и шифрујте копије у облаку где је то прикладно.
- Имплементирајте робусну обраду грешакаКористите блокове try/catch, евидентирајте грешке и, ако је могуће, шаљите упозорења када нешто критично откаже.
- Оптимизујте перформансеПоново користите функције и модуле, минимизирајте непотребне петље, радите са изворним командлетима кад год је то могуће и тестирајте различите приступе како бисте смањили време извршавања.
- Праћење и ревизија заказаних задатакаПериодично прегледајте историју распоређивача задатака, дневнике догађаја и датотеке дневника које генеришу скрипте како бисте открили аномално понашање или понављајуће грешке.
- Увек тестирајте у развојним или тестним окружењима пре имплементације новог задатка или скрипте у продукцији, посебно ако интерагује са критичним системима или осетљивим подацима.
Имајући све ово у виду, може се изградити веома способан PowerShell екосистем аутоматизације, подржан заказаним задацима и удаљеним алатима, где Само мали део инфраструктуре захтева високо привилеговане налоге а остатак могу да обављају стандардни или веома ограничени корисници услуга. Пажљивим планирањем контекста извршавања, дизајна скрипти и управљања дозволама, сасвим је изводљиво аутоматизовати велики део свакодневног посла у Windows-у и Microsoft 365 без сталног ослањања на администраторски налог.
Страствени писац о свету бајтова и технологије уопште. Волим да делим своје знање кроз писање, и то је оно што ћу радити на овом блогу, показивати вам све најзанимљивије ствари о гаџетима, софтверу, хардверу, технолошким трендовима и још много тога. Мој циљ је да вам помогнем да се крећете у дигиталном свету на једноставан и забаван начин.