これは、Windows SysInternals フォーラムの投稿から読みました。
HKCU (ハイブ キーの現在のユーザー) は、psexec を使用してリモート マシンで認証されたユーザーのハイブ キーを指します。両方のアカウントがたまたま同一でない限り、マシンのデスクトップに対話的にログオンしたユーザーのハイブ キーを指すことはありません。
リモート マシンにサインオンしたユーザーの Windows レジストリの HKEY_CURRENT_USER/Software/Microsoft/SystemCertificates/Root/Certificates フォルダーに、自己署名証明書に関連付けられた署名者と証明書をプッシュしようとすると、同じ問題に直面しています。
PsExec で使用されるユーザー ID とパスワードが、現在リモート マシンにログオンしているユーザーと同じである場合、すべて正常に動作します。PKCU レジストリ エントリが期待どおりに追加されます。
各エンドユーザーに AD パスワードを尋ねることはできないため、両方のアカウントが同一でない場合にこれを機能させる方法を整理しようとしています。証明書と署名者をプッシュしようとしているドメイン内のすべての PC で管理者権限を持つ Windows サービス アカウントがあります。そのアカウントを psexec で使用すると、リモート PC にログオンしているユーザーのレジストリ エントリが追加されません。
両方のアカウントが同一でない場合に、psexec を使用して HKEY_CURRENT_USER に書き込む方法はありますか? つまり、psexec コマンドで使用されるアカウントが、現在リモート PC にログオンしているアカウントではない場合です。
例:
ユーザー remoteuser は、証明書エントリを HKCU ハイブにインストールするリモート PC にログオンしていますが、psexec で別のユーザー/アカウントを使用しています。これを行うのは、HKCU ハイブを更新するすべてのリモート ユーザーの AD パスワードがわからないためです。それは深刻なセキュリティ問題になります。
この例では、psexecuser アカウントを使用して、AD ユーザー remoteuser がログオンしているリモート PC で psexec サービスを開始します。
C:\psexec @C:\remoteUserPCList.txt -u ourdomain\psexecuser -p psececuserpassword -d -c -f C:\InstallSSLCertinHKCU.bat
リモート PC の remoteuser アカウントに HKCU レジストリ エントリが追加されません。
psexec で機能する修正は、大きな助けになります。AD GPO を使用できるのではないかと思いますが、PsExec で使用できるトリックがあることを願っています。
よろしく