これが少し基本的なことであることはわかっていますが、誰かが私にこれを正してくれたら、永遠に感謝します.
- Hyper-V を実行している Windows 2012 R2 サーバーが多数あります。
- これらのサーバーでは、XML-RPC Web サービスが実行されます。この背後には、いくつかのホストされた Powershell があります。それは完全に機能します。
- ホストされた Powershell コードは、偽装によって実行されます。繰り返しますが、うまくいきます。
- これらのマシンは常にドメイン内にありますが、XML-RPC 認証は次のように機能します。
ドメインにピリオド (".") を使用しました。ユーザー名「管理者」を使用しました。「ローカル」管理者アカウントごとに個別のパスワードを使用しました。
最近、アプリケーションにクラスタリング機能を追加しました。これは、Microsoft の Powershell コマンドレットのラッパーの一部と、私自身のものです。dcos を正しく読んだ場合、クラスタリングはドメイン資格情報でのみ管理できます。Web サービスを単一の認証情報セットで実行したい (呼び出し元のアプリケーションが保存する必要がある詳細を簡素化するため)。
私は、次のように認証モデルを小刻みに動かすと仮定しました。
- Hyper-V ホストごとにドメイン ユーザーを用意します。
- このユーザーがローカル管理者グループおよび Hyper-V 管理者グループのメンバーであることを確認してください。
- これらのユーザーを「クラスター化された Hyper-V ホスト」グループに追加し、クラスタリング管理ツールを使用してこのグループに「クラスター化権限」を付与します。
私の問題:
- 微調整されたモデルを実行すると、コードが爆発して機能しなくなり、多くの認証エラーが発生し、レジストリにヒットして拒否されることがわかります。
- ホストを無作為に選択し、この新しいドメイン ユーザー (明確にするために、ローカル管理者グループのメンバー) でそれにログオンし、xml-rpc ラッパーを使用せずにコードを実行すると、多くの認証エラーが発生しました。 . このユーザーは、これらのアクセス許可を持っていても、管理者の資格情報を使用して実行していないようです。
- これらのユーザーは、完全なアクセス権を持っている必要がありますが、クラスタリングのアクセス許可も制限されているようです。
- 「test-cluster」コマンドを実行すると、実行しているホストに対する権限がないことがわかります。
ディレクトリが壊れていたり、実際のアクセスに問題があることは認めますが、おそらくこれがどのように機能するかについて、固有の誤解を持っている可能性があります。私は Linux のエンジニア兼プログラマーで、Windows について少し知っています。真の管理者アカウントとしてログオンしていないドメイン環境で、このコンテキストで UAC がどのように機能しているかについて少し混乱しています... Powershell ウィンドウを右クリックして管理者として「実行」すると、私のコードはすべてクラスタリングのものでさえ機能しているように見えます(ドキュメントを通じて、ローカル管理者として実行すべきではないと私は信じています)。
ここである種の標高の問題にぶつかっていますか?ドメイン ユーザーが何らかの操作を行うための「有効なアクセス許可」(この用語が混乱を招かないことを願っています) を持っている場合でも、なんらかの方法で昇格する必要がありますか?
どうもありがとう。