powershell - 通过 GPO 的 Ansible Winrm HTTPS 监听器配置

Question

我是组策略的新手，在域计算机上自动创建 https winrm 监听器时遇到问题。

目标:通过 gpo 使用分布式 ad cs ssl 证书自动创建 Winrm https 监听器的 Windows。

目前:

• 阅读此内容以根据 ansible 文档设置 https winrm 监听器:https://docs.ansible.com/ansible/latest/user_guide/windows_setup.html#winrm-setup

• SSL 证书正按预期从 AD 证书服务部署

• 证书是从设置为自动注册的计算机证书模板中复制的

• 我配置了脚本签名并且脚本已签名

• 另一个 gpo 正在将执行策略设置为远程签名

• 我有一个工作的 powershell 脚本(在 gpo 之外)已放置在 DFS 共享 (\dom.ain\share\scripts\configure-winrm-listener.ps1)

  <

问题:GPO 似乎没有运行此脚本。

尝试过:

• powershell 选项卡下的登录脚本

• 脚本选项卡下的登录脚本通过几个开关指向powershell

• powershell选项卡下的启动脚本

• 通过几个开关指向 powershell 的脚本选项卡下的启动脚本

问题:

• 如何将此脚本转换为有效的 GPO？

• 它不工作是因为 GPO 从域 Controller 运行吗？

• 是否需要将脚本配置为远程运行？就像使用 Invoke-Command..

• 将脚本复制到电脑上会不会更好？什么是最佳实践

$FQDN = [System.Net.Dns]::GetHostByName(($env:computerName)).Hostname

$CertThumbPrint = (Get-ChildItem Cert:\LocalMachine\my | ? {$.Extensions | ? {$.oid.friendlyname -match "Certificate Template Information" -and $_.Format(0) -match "WinRM"}}).Thumbprint

New-WSManInstance winrm/config/Listener -SelectorSet @{Address='*';Transport="HTTPS"} -ValueSet @{Hostname=$FQDN;CertificateThumbprint=$CertThumbPrint} | Out-File C:\winrm.txt

Answer 1

考虑使用 this script我几年前写的，今天继续在工作中使用。脚本帮助的说明解释了如何设置所有内容。唯一的问题是您的 WinRM 证书需要来自名为 WinRM 的证书模板(尽管您始终可以将脚本修改为您在环境中使用的任何模板名称)。引用帮助的相关部分:

1. Fire on 1001 or 1006 event ids in the CertificateServicesClient-Lifecycle-System event log
2. Use the -FindCert parameter to select the most recent valid certificate created from the 'WinRM' certificate template.

由于参数化方式不适用于通过 GPO 部署的任务，请将此脚本放在网络上的某个位置，并部署一个计划任务以使用 -FindCerts 参数运行此脚本。这最终会从名为 WinRM 的证书模板中搜索最新的可用证书并对其进行配置。只要您运行的是 2012R2 或更新版本，您就可以依靠证书生命周期事件来触发脚本。对于较早的版本(希望您还没有使用 2008R2)，您可以按时间间隔而不是证书生命周期事件运行它。

我们每六周循环一次我们的证书，当新证书部署到服务器时，这将自动运行并刷新证书。如果触发证书生命周期事件，它最终会在每次在服务器上部署或更新证书时运行，但脚本设计为如果它不是我们期望的证书则静默退出。