我在尝试通过 powershell 将 BizTalk 应用程序 (msi) 部署到远程计算机时遇到了双跃点问题。解决此问题(双跳)的唯一方法是对远程 session 使用 CredSSP 身份验证。部署需要无人值守,但如果我尝试使用 CredSSP 身份验证,它会在提示中要求提供凭据。使用 CredSSP 时,有什么方法可以绕过这种手动输入凭据的方法吗?如果没有,是否有任何其他方式可以在不将凭据保留在脚本文件中的情况下完成凭据委派?
最佳答案
您可以通过使用远程委派 session 来解决第二跳问题。 here是指向描述如何创建这些的 MSDN 文章的链接。
基本上,它与 Exchange 用于其远程管理 session 的机制相同。在目标机器上创建远程 session 配置,并且在该 session 中运行的任何内容都在配置的 RunAs 参数中指定的一组凭据下执行。当您在其中一个 session 中运行某些内容时,您可以在没有 CredSSP 的情况下从该机器跳到另一台机器,因为实际执行命令的凭证尚未跳转。
您可以非常详细地了解哪些脚本、函数和 cmdlet 可以在该 session 中运行,因此您可以将其限制为仅用于特定目的。设置完成后,您可以通过向特定组或用户授予 session 的执行权限来限制有权使用该 session 的人员。
关于windows - 在使用 CredSSP 身份验证能够运行无人值守命令时,是否有任何方法可以绕过凭据提示?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29389133/