我从 Windows SysInternals 论坛上的帖子中读到了这篇文章。
HKCU - 配置单元密钥当前用户 - 将指向在 psexec 的帮助下在远程计算机上进行身份验证的用户的配置单元密钥。它不会指向以交互方式登录到计算机桌面的用户的配置单元密钥,除非两个帐户碰巧相同。
我在尝试将与自签名证书关联的签名者和证书推送到 Windows 注册表中的 HKEY_CURRENT_USER/Software/Microsoft/SystemCertificates/Root/Certificates 文件夹以供登录到远程计算机上的用户时遇到同样的问题。
如果 PsExec 使用的用户 ID 和密码与当前登录远程计算机的用户相同,则一切正常。PKCU 注册表项按预期添加。
由于我们无法向每个最终用户询问他们的 AD 密码,因此我试图弄清楚当两个帐户不相同时如何使该密码正常工作。我有一个 Windows 服务帐户,该帐户在我尝试将证书和签名者推送到的域中的所有 PC 上都具有管理员权限。如果我将该帐户与 psexec 一起使用,则不会为登录到远程 PC 的用户添加注册表项。
当两个帐户不相同时,有什么方法可以使用 psexec 写入 HKEY_CURRENT_USER 吗?也就是说,当与 psexec 命令一起使用的帐户不是当前登录到远程 PC 上的帐户时。
例子:
用户 remoteuser 登录到我们想要将证书条目安装到 HKCU 配置单元的远程 PC,但我们使用不同的用户/帐户和 psexec。我们这样做是因为我们不知道要为其更新 HKCU 配置单元的所有远程用户的 AD 密码。那将是一个严重的安全问题。
在此示例中,我们使用 psexecuser 帐户在 AD 用户 remoteuser 登录的远程 PC 上启动 psexec 服务。
C:\psexec @C:\remoteUserPCList.txt -u ourdomain\psexecuser -p psececuserpassword -d -c -f C:\InstallSSLCertinHKCU.bat
不会为远程 PC 上的 remoteuser 帐户添加 HKCU 注册表项。
任何适用于 psexec 的修复程序都会有很大帮助。我怀疑我们可以使用 AD GPO,但我希望有一些技巧可以与 PsExec 一起使用。
问候