私はサーバーにpowershell制約付きエンドポイントをホストしています。エンドポイントはサービスアカウント(OurDomain \ DoTransfer)として実行されます。このアプローチは、エンドポイント内の関数がさまざまなリモートファイル共有とローカルディレクトリを読み書きする権限を必要とするため選択されました。そして、エンドポイントを呼び出すユーザーにこれらの昇格されたアクセス許可を与えることは望ましくありませんでした。Register-PSSessionConfiguration RunAsCredentialのホストに対する最小限のアクセス許可
開発中に、エンドポイントをホストしているサーバーのローカル管理者グループにDoTransferを追加し、すべて正常に機能しました。
私たちのセキュリティチームを幸せにするためにエンドポイントを強化する一環として、DoTransferがエンドポイントを実行するための最小限のアクセス許可(ホストサーバー上)を見つけようとしています。
まず、私はDoTransferをローカルの\ adminsから取り出してみました(どのローカルグループでもないので)、Invoke-Commandでテスト関数を呼び出しました。これは、インポートモジュールからのアクセスを拒否する例外(エンドポイントはimport-moduleを呼び出して、コードを含むカスタムモジュールをロードします)。
第2回DoTransferをlocal \ usersに追加し、import-moduleのアクセスが拒否されても失敗したテストを繰り返しました。
第3回DoTransferをローカル\ adminsに追加して、テストはうまくいきました。
DoTransferがホストサーバー上の制約付きエンドポイントを実行するために必要な最小限のアクセス許可を知っている人はいますか?
機能内のコードに管理者権限が必要な場合は、管理者グループに追加する必要があります。 –