• Artikel

TechNet - Experternas arena

Frågespalt: Windows PowerShell

Dina frågor om att automatisera och administrera med hjälp av PowerShell besvaras av Fredrik Wall.

 

Säkerhetsnivåer för användares PowerShell-skript?

Fråga:

Vilka alternativ har jag om jag vill tillåta användare i mitt AD (Active Directory) att köra PowerShell-skript?

Fredrik Wall

Fredrik Wall arbetar som Senior Infrastructure Engineer på Steria, och bloggar om PowerShell på http://poweradmin.se/blog. Han är dessutom en av grundarna och administratörerna av Scandinavian PowerShell User Group.

Du som är IT-proffs kan skicka dina frågor om Windows PowerShell till fraganu@microsoft.com och få dem besvarade av Fredrik här i frågespalten.

Vi kan tyvärr inte garantera att alla frågor hinner besvaras.

Svar:

Det finns fyra olika säkerhetsnivåer som du kan tillämpa för dina användare:

1.   Unrestricted
Väljer du unrestricted får användarna köra alla PowerShell-skript. Detta är det enklaste sättet, men också det minst säkra. I detta fall har du ingen kontroll över vilka PowerShell-skript användarna kör.

2.   RemoteSigned
Med alternativet RemoteSigned måste alla skript som laddas ned från internet vara signerade av en "trusted publisher". Då ger du användarna möjlighet att göra egna skript och köra dem utan att de behöver vara signerade.

I detta fall har du viss koll på användarnas PowerShell-skript, eller snarare vad de inte kan köra.

3.   AllSigned
Väljer du AllSigned måste samtliga skript vara signerade av en "trusted publisher".

För att användare ska kunna köra egna skript i detta läge måste de signeras med till exempel företagets certifikat. Det kräver då ett CA (Certification Authority).

4.   Restricted
Detta är "default-läget”, som inte tillåter att några skript körs.

Tänk dock på att användarna inte får vara administratörer på sina maskiner om du ska inskränka körningen av PowerShell-skript. Om de är administratörer behöver de endast skriva raden "powershell.exe set-executionpolicy unrestricted" – sedan är det fritt fram för dem att köra PowerShell-skript igen.

Med vänlig hälsning,

Fredrik Wall
Senior IT-Consultant, Riverpoint

Fredrik Walls blogg: http://poweradmin.se/blog
Scandinavian PowerShell User Group: http://powershellug.ning.com

De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.