Мы используем TeamCity в качестве CI-сервера. В нашем конвейере сборки нам нужно на каком-то этапе запустить скрипт powershell, который применяет контрольную точку к определенной виртуальной машине, размещенной на выделенном сервере Hyper-V.

Агенты TeamCity работают как особые пользователи, позволяющие называть эту учетную запись TCAgent. Его пароль распространен среди многих людей. Чтобы позволить этому пользователю выполнять сценарий powershell на сервере Hyper-V, мне нужно разрешить этому пользователю входить на сервер, что крайне небезопасно.

Итак, мне нужно, чтобы пользователь TCAgent мог выполнять определенный сценарий на сервере, но не более того. Как я могу это сделать?

1 ответ1

1

Вы можете установить эти параметры либо в локальной групповой политике (gpedit.msc), либо в реальной групповой политике.

Конфигурация компьютера> Настройки Windows> Параметры безопасности> Локальные политики> Назначение прав пользователей> Запретить вход локально

Deny log on locally

This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies.

Important

If you apply this security policy to the Everyone group, no one will be able to log on locally.

Default: None.

Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Назначение прав пользователей> Вход в систему как пакетное задание

Log on as a batch job

This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows.

For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user.


Default: Administrators
Backup Operators.

эти 2 настройки должны выполнить то, что вы хотите сделать.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .