Utilizarea cmdletului Get-Credential în scripturile Windows PowerShell
Ca cea mai bună practică, administratorii ar trebui să aibă două conturi de utilizator. Fiecare administrator ar trebui să aibă un cont de utilizator standard care este utilizat pentru activitatea de zi cu zi și un al doilea cont cu permisiuni administrative. Separarea acestor roluri ajută la evitarea deteriorării accidentale a sistemelor informatice și limitează efectele potențiale ale malware-ului. Cmdletul Get-Credential vă poate ajuta să utilizați contul administrativ în timp ce sunteți încă conectat la un cont de utilizator standard.
Multe dintre scripturile pe care le rulează administratorii necesită privilegii ridicate. De exemplu, un script care creează conturi de utilizator Active Directory Domain Services (AD DS) necesită privilegii administrative. Chiar și interogarea jurnalelor de evenimente de pe un computer la distanță poate necesita privilegii administrative.
O modalitate de a ridica privilegiile atunci când rulați un script este să utilizați opțiunea Executare ca administrator atunci când deschideți solicitarea Windows PowerShell. Dacă utilizați Executare ca administrator, vi se solicită acreditările. Deci, toate acțiunile efectuate la acea solicitare Windows PowerShell utilizează acreditările furnizate.
Ca alternativă la utilizarea Executare ca administrator pentru rularea unui script, puteți solicita scriptului acreditările. Multe cmdleturi Windows PowerShell permit furnizarea unui set alternativ de acreditări. În acest fel, acreditările pe care le obține scriptul pot fi utilizate pentru a rula comenzi individuale în script. Puteți solicita acreditări utilizând Get-Credential. Sintaxa pentru utilizarea cmdletului Get-Credential este:
$cred = Get-Credential
Set-ADUser -Identity $user -Department "Marketing" -Credential $cred
Textul implicit din fereastra pop-up este "Introduceți acreditările". Puteți particulariza acest text pentru a fi mai descriptiv utilizând parametrul -Message . De asemenea, puteți completa caseta Nume utilizator utilizând parametrul -UserName .
Stocarea acreditărilor utilizând Export-Clixml
Puteți stoca acreditările într-un fișier pentru reutilizare ulterioară fără a vi se solicita acreditările. Pentru a stoca acreditările într-un fișier, utilizați Export-Clixml. Pentru un obiect de acreditare, Export-Clixml criptează obiectul de acreditare înainte de a-l stoca într-un fișier XML. Utilizați următoarea sintaxă pentru a stoca un obiect de acreditare într-un fișier.
$cred | Export-Clixml C:\cred.xml
Criptarea utilizată de Export-Clixml este specifică utilizatorului și computerului. Asta înseamnă că, dacă stocați acreditările criptate, numai dumneavoastră puteți recupera acreditările criptate și numai pe computerul pe care l-ați folosit inițial pentru a le stoca. Această acțiune ajută la păstrarea datelor de autentificare în siguranță, dar înseamnă și că acestea nu pot fi partajate cu alți utilizatori.
Stocarea acreditărilor utilizând modulul SecretManagement
Microsoft a lansat modulul SecretManagement pe care îl puteți utiliza pentru a stoca și prelua acreditările. Această metodă funcționează mai bine pentru stocarea acreditărilor care pot fi partajate între mai mulți utilizatori și computere. Cmdleturile incluse în modulul SecretManagement pot accesa acreditările din mai multe seifuri secrete.
Unele seifuri cunoscute sunt:
- KeePass
- Ultimul Abonament
- CredMan
- Azure KeyVault
Modulul SecretManagement este disponibil în Galeria PowerShell. Puteți instala modulul SecretManagement rulând următoarea comandă:
Install-Module Microsoft.PowerShell.SecretManagement
Microsoft oferă, de asemenea, modulul SecretStore pe care îl puteți utiliza pentru a crea un seif secret local pentru stocarea acreditărilor. Cu toate acestea, similar cu utilizarea Export-Clixml, seiful este stocat pe mașina locală și în contextul curent al utilizatorului.