Invoke-Command {net localgroup}が失敗するのはなぜですか？

Question

NET USEとNET USERコマンドをリモートマシンで正常に使用できます。どうしてですかNET LOCALGROUP？

PS C:\src\powershell> Invoke-Command -ComputerName OTHERMACHINE -ScriptBlock { & NET LOCALGROUP } 
System error 1312 has occurred. 
    + CategoryInfo   : NotSpecified: (System error 1312 has occurred.:String) [], Rem 
    oteException 
    + FullyQualifiedErrorId : NativeCommandError 
    + PSComputerName  : OTHERMACHINE 

A specified logon session does not exist. It may already have been terminated. 

/USERパラメータを渡すと、別のエラーが発生します。

PS C:\src\powershell> Invoke-Command -ComputerName OTHERMACHINE -ScriptBlock { & net localgroup /USER:THEDOM\theuser } 
The option /USER:THEDOM\theuser is unknown. 
    + CategoryInfo   : NotSpecified: (The option /USE...son is unknown.:String) [], R 
    emoteException 
    + FullyQualifiedErrorId : NativeCommandError 
    + PSComputerName  : OTHERMACHINE 

The syntax of this command is: 
NET LOCALGROUP 
[groupname [/COMMENT:"text"]] [/DOMAIN] 
       groupname {/ADD [/COMMENT:"text"] | /DELETE} [/DOMAIN] 
       groupname name [...] {/ADD | /DELETE} [/DOMAIN] 
More help is available by typing NET HELPMSG 3506. 

Answer 1

これはダブルホップの問題だと思います。 Enter-PSSessionで作成されたセッションでnet localgroup administratorsを実行しようとすると、「システムエラー1312が発生しました」という同じエラーが発生します。 「指定されたログオンセッションは存在しません。すでに終了している可能性があります。

net.exeは再認証を試みていますが、セッションの資格情報を再利用することはできません。いくつかのセットアップが必要なCredSSPを使用して成功するかもしれませんし、IIRCはセキュリティの意味を持つかもしれません。 enable CredSSP on the remote system and local system, and then delegate correctlyにする必要があります。それでも私はこの作業について矛盾する報告を見ています。それを防ぐためにsecurity policiesさえあるかもしれません。

個人的には、私はちょうどnet.exeを使用しません。そんなに基本的なもののために飛び越すにはあまりにも多くのフープです。あなたはretrieve the members of a local group remotely via the ADSI providerとすることができます。これはおそらくはるかに簡単で、動作する可能性は非常に高いです。