如何解决从应用程序池用户提升的priv运行Powershell脚本
我有一个特殊的情况让我感到困扰,希望从社区中获得一些见识。
我正在尝试通过其自身的应用程序池标识运行的Web应用程序运行添加的HTTPS绑定并链接到证书PowerShell脚本。
PowerShell脚本需要提升的特权,因此它无法成功运行,只能访问绑定部分,而不能访问SSL证书的链接。
由于绑定是动态动态生成的,并且需要Web应用程序替换持有绑定的令牌,因此我无法调用运行带有代码的已保存脚本文件。
如果脚本是通过当前正在运行其应用程序池标识用户的Web应用程序运行的,我如何成功运行该脚本?我曾尝试用一个height标签将脚本包含在内,但是会触发一个新的提升的单独PowerShell窗口,该窗口对我不起作用,因为这一切都是在没有用户的情况下自动发生的。
New-WebBinding -name "example.domain" -IPAddress "XXX.XXX.XXX.XXX" -Protocol https -HostHeader [DynamicallyLoadedViaWebApplication] -Port 443 -SslFlags 1
$siteName = 'example.domain'
$Cert = (get-item cert:"\LocalMachine\WebHosting\THUMBPRINTHERE")
$binding = Get-WebBinding -Name $siteName -Protocol "https"
$binding.AddSslCertificate($Cert.GetCertHashString(),"WebHosting")
我尝试通过注册表关闭UAC,但这没有帮助。以上脚本必须通过具有足够高权限的Web应用程序运行才能成功完成
更新:
要触发的第一个脚本是通过application pool identity而不是管理员帐户执行的,此方法可行吗?我最终可以尝试将application pool user切换为管理员,但如果可能的话,我想避免这种情况。或关于如何通过application pool用户进行绑定的其他想法?
解决方法
对于遇到类似问题的任何人,我都接受了道格·毛勒(Doug Maurer)的回答,因为他的方法确实有效,但是在我的特定情况下,它不能解决我的问题,因此我在发布是否有帮助的人。
由于我的网站正在执行PowerShell命令,因此无论采用哪种方法,它都无法提升,除非其他人有一些我不知道的更好的方法。
我最终恢复到让我的Web应用程序仅运行绑定和SSL链接脚本本身而不引用磁盘上的任何脚本文件。
IE:
New-WebBinding -name "example.domain" -IPAddress "XXX.XXX.XXX.XXX" -Protocol https -HostHeader [DynamicallyLoadedViaWebApplication] -Port 443 -SslFlags 1
$siteName = 'example.domain'
$Cert = (get-item cert:"\LocalMachine\WebHosting\THUMBPRINTHERE")
$binding = Get-WebBinding -Name $siteName -Protocol "https"
$binding.AddSslCertificate($Cert.GetCertHashString(),"WebHosting")
执行此操作时,如果将网站的应用程序池保留为默认设置,它将失败。我最终在服务器上创建了一个新的本地用户,并使该用户成为Administrators组的一部分,然后切换了application-pool来使网站以此新创建的用户帐户运行。我必须重新启动计算机才能使其真正生效并工作,如果您仅执行此操作而不重新启动,它仍然会失败,至少对我而言是成功的。
将其保存在用户帐户有权访问的位置。在此示例中,我将其命名为sslscript.ps1并将其保存到c:\temp
@'
Param($data)
Start-Process powershell -ArgumentList @"
New-WebBinding -name "example.domain" -IPAddress "XXX.XXX.XXX.XXX" -Protocol https -HostHeader $data -Port 443 -SslFlags 1
$siteName = 'example.domain'
$Cert = (get-item cert:"\LocalMachine\WebHosting\THUMBPRINTHERE")
$binding = Get-WebBinding -Name $siteName -Protocol "https"
$binding.AddSslCertificate($Cert.GetCertHashString(),"WebHosting")
"@ -Verb runas
'@ | Set-Content c:\temp\sslscript.ps1 -Encoding UTF8
像这样从您的应用程序中调用它
c:\temp\sslscript.ps1 [DynamicallyLoadedViaWebApplication]
这是一个小小的测试,可以作为概念证明来进行。这将调用UAC,因此这可能是我可以预见的唯一问题。如果发现这是个问题,那么您可以将动态创建的信息保存到文件中,然后以管理员身份运行计划的任务,并让它获取信息。
@'
Param($data)
Start-Process powershell -ArgumentList @"
write-host Argument passed in: $data -foregroundcolor cyan
`$isadmin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match 'S-1-5-32-544')
if(`$isadmin)
{
write-host script is 'running as admin' -foregroundcolor green
}
else
{
write-host script is not 'running as admin' -foregroundcolor red
}
pause
"@ -Verb runas
'@ | Set-Content c:\temp\testscript.ps1 -Encoding UTF8
C:\temp\testscript.ps1 "passing in some data"
输出应如下所示
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。