我從Windows SysInternals論壇中的發帖中讀到這個。PSEXEC - 當兩個賬戶不同時更新HKEY_CURRENT_USER
HKCU - 配置單元當前用戶 - 將指向在psexec的幫助下在遠程機器上進行身份驗證的該用戶的配置單元密鑰。它不會指向交互登錄到計算機桌面的用戶的配置單元密鑰,除非這兩個帳戶恰好相同。
我正面臨同樣的問題,試圖將簽名者和證書與自簽名證書關聯推送到Windows註冊表中的HKEY_CURRENT_USER/Software/Microsoft/SystemCertificates/Root/Certificates文件夾,以供登錄到遠程機器上的用戶使用。
如果與PsExec一起使用的用戶標識和密碼與當前登錄到遠程機器的用戶相同,則一切正常。按預期添加PKCU註冊表項。
由於我們無法向每個最終用戶詢問他們的AD密碼,因此我試圖理清兩個帳戶不相同時如何才能使其工作。我有一個Windows服務帳戶,該帳戶在域中的所有PC上都具有管理權限,我試圖將證書和簽名者推送給該域。如果我在psexec中使用該帳戶,則登錄到遠程PC的用戶不會添加註冊表項。
當兩個帳戶都不相同時,我可以使用psexec寫入HKEY_CURRENT_USER嗎?也就是說,與psexec命令一起使用的帳戶不是當前登錄到遠程PC的帳戶。
例如:
用戶remoteuser表登錄到上,我們要安裝證書進入HKCU配置單元中的遠程電腦,但我們使用PSEXEC不同的用戶/帳戶。我們這樣做是因爲我們不知道我們想要更新HKCU配置單元的所有遠程用戶的AD密碼。 這將是一個嚴重的安全問題。
在本例中,我們使用psexecuser帳戶在遠程PC上啓動遠程用戶AD用戶登錄的psexec服務。
C:\ PSEXEC @C:\ remoteUserPCList.txt -u ourdomain \ psexecuser -p psececuserpassword -d -c -f C:\ InstallSSLCertinHKCU.bat
的HKCU註冊表項沒有得到增加了對remoteuser表遠程PC上的帳戶。
任何可以與psexec一起使用的修補程序都會非常有幫助。我懷疑我們可以使用AD GPO,但我希望有一些可以與PsExec一起使用的技巧。
問候