RunAs mit einem ManagedUserAccout

Üblicherweise wird ein ManagedUserAccount (MSA) genutzt um Dienste oder ScheduledTasks unabhängig von einem „normalen“ Konto laufen zu lassen.

Manchmal kommt man jedoch in die Situation, dass man ein Script geschrieben und getestet hat und es dann unter dem MSA nicht so läuft wie gewünscht. Ursachen gibt es viele, z.B. fehlende Berechtigungen, Zertifikate oder auch Proxyeinstellungen.

Zum Testen sollte man das Script also unter dem MSA laufen lassen können. Es gibt hier jedoch eine kleine Hürde zu überwinden. Mit dem MSA kann man sich an keinem Rechner anmelden und mit „RunAs“ lässt sich kein Command Prompt öffnen, da jeweils nach einem Kennwort gefragt wird und genau ein solches hat der MSA nicht (bzw. nur auf Systemebene).

Die Lösung ist der Aufruf über PsExec aus den PSTools.

PsExec -i -u domain\gMSA$ -p ~ cmd.exe

Wichtig ist hier die Tilde, um die Frage nach einem Passwort zu umgehen.

So jetzt kann z.B. ein Powershellscript gestartet werden um zu sehen, wie es sich unter diesem Account verhält.

Die PSTools gibt’s hier: https://docs.microsoft.com/en-us/sysinternals/downloads/pstools

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert