PowerShell: автоматическое присоединение к домену с безопасной строкой - использование ключа шифрования

Question

Я работаю в корпоративной среде, где я управляю лабораторией из 75 компьютеров. Я использую Ghost для создания образа, а затем обхожу компьютеры, чтобы изменить имена ПК и SID.

Я реализую скрипт для автоматического добавления компьютеров в домен, но я новичок в PowerShell и буду очень признателен за помощь. Вот скрипт, который я использую, 1.ps1:

    Param (
    [String]$User = $(Throw "MYDOMAINUSERINFO"),
     [String]$Domain = "MYDOMAININFO",
     [String]$PathToCred = "C:\OMC\AutoPost"
     ) 

    #Make sure our path string has a trailing backslash
    If ($PathToCred[$PathToCred.Length - 1] -ne "\")
    {    $PathToCred += "\"
    }

    #Now create file string
    $File = $PathToCred + "JoinDomain-$User.crd"

    #And find out if it's there, if not create it
    If (-not (Test-Path $File))
    {    (Get-Credential).Password | ConvertFrom-SecureString | Set-Content $File
    }

    #Load the credential file
    $Password = Get-Content $File | ConvertTo-SecureString
    $Credential = New-Object System.Management.Automation.PsCredential($User,$Password)

    #Add the computer to the domain
    Add-Computer -DomainName $Domain -Credential $Credential

Я запускаю этот скрипт, используя командный файл, который я помещаю в папку автозагрузки.

   Powershell.exe -ExecutionPolicy Bypass C:\OMC\AutoPost\1.ps1 -User MYDOMAINUSERINFO -Domain MYDOMAININFO -PathToCred C:\OMC\AutoPost\

Запуск этого сценария работает нормально, он создает файл учетных данных, читает файл учетных данных и присоединяется к домену. Запуск этого скрипта после призраков и прогулок не работает, я получаю сообщение об ошибке:

    Key not valid for use in specified state.

Я думаю, это потому, что компьютер знает, что что-то изменилось. Я использую ту же учетную запись пользователя для добавления в домен, с которой изначально создавал учетные данные, поэтому я считаю, что компьютер отклоняет эти учетные данные, поскольку SID изменился.

В Интернете я прочитал, что могу использовать [-key Byte []] для установки стандартного ключа шифрования, что позволит мне обойти эту ошибку. Я слишком новичок в PowerShell, чтобы знать, как это использовать, кто-нибудь может мне помочь?

    More info:
    https://technet.microsoft.com/en-us/library/hh849814.aspx
    http://ss64.com/ps/convertfrom-securestring.html

Вопрос переполнения стека - https://stackoverflow.com/questions/32258829/powershell-secure-string-encryption-key-usage-join-domain-script

Answer 1

Вставьте следующее в скрипт. Я называю мины "Custom-ZTIDomainJoin.ps1"

Я помещаю это в% SCRIPTROOT%

[CmdletBinding()]

Param (
[Параметр (обязательный = $ True)] $ Domain,

[Parameter(Mandatory=$True)]
    $UserName,

[Parameter(Mandatory=$True)]
    $Password,

[Parameter(Mandatory=$False)]
    $OU,

[Parameter(Mandatory=$False)]   
    [Switch]$Log

)

Очистить экран

Clear-Host

Определить настройки действий по умолчанию

$DebugPreference = "Continue"
$ErrorActionPreference = "Continue"
$WarningPreference = "Continue"

Определить символы ASCII

$Equals = [char]61
$Space = [char]32
$SingleQuote = [char]39
$DoubleQuote = [char]34
$NewLine = "`n"

Установить рабочий каталог

$ScriptDir =  $MyInvocation.MyCommand.Definition | Split-Path -Parent
$ScriptName = [System.IO.Path]::GetFileNameWithoutExtension($MyInvocation.MyCommand.Name)
$Temp = "$Env:LocalAppData\Temp"

Запустите вывод сценария регистрации, если присутствует переключатель «/Log»

If ($Log.IsPresent) {(Start-Transcript -Path "$Temp\$ScriptName.log")}

Запрос WMI

$HostName = (Get-WmiObject -Class Win32_ComputerSystem -Property Name | Select -ExpandProperty Name).Trim().ToUpper()
$OSArchitecture = (Get-WmiObject -Class Win32_OperatingSystem -Property OSArchitecture | Select -ExpandProperty OSArchitecture).Replace("-bit", "").Replace("32", "86").Insert(0,"x").ToUpper()
$OSVersion_Major = ([Environment]::OSVersion.Version.Major)
$OSVersion_Minor = ([Environment]::OSVersion.Version.Minor)
[Decimal]$OSVersion = ("$OSVersion_Major" + "." + "$OSVersion_Minor")

Определить функции

#Encode a plain text string to a Base64 string  
    Function ConvertTo-Base64 ($String) 
        { 
            $Encoded = [System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($String))
            Return $Encoded  
        }   

#Decode an Base64 string to a plain text string
    Function ConvertFrom-Base64 ($String) 
        { 
            $Decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($String))
            Return $Decoded
        }

Если скрипт выполняется в последовательности задач Microsoft Deployment Toolkit, выполните следующие действия.

If (Test-Path -Path TSEnv: -ErrorAction SilentlyContinue)

    {           
        If ($OSVersion -lt "10.0")

            {
                #MDT passes in sensitive values as Base64 encoded strings, so they MUST be decoded to plain text first
                    $Domain = ConvertFrom-Base64 -String "$Domain"
                    $UserName = ConvertFrom-Base64 -String "$UserName"
                    $Password = ConvertFrom-Base64 -String "$Password" | ConvertTo-SecureString -AsPlainText -Force
                    $OU = $TSEnv:MachineObjectOU

                #Create Credential Object For Active Directory Operations
                    $Credentials = (New-Object System.Management.Automation.PSCredential("$Domain\$UserName", $Password))

                #Join the specified Active Directory Domain
                    $Device_JoinDomain = (Add-Computer -DomainName $Domain -Credential $Credentials -Force -Verbose)

                #Wait 15 Seconds
                    (Start-Sleep -Seconds "15")
            }

        ElseIf ($OSVersion -ge "10.0")

            {
                #MDT passes in sensitive values as Base64 encoded strings, so they MUST be decoded to plain text first
                    $Password = (ConvertTo-SecureString -String "$Password" -AsPlainText -Force)
                    $OU = $TSEnv:MachineObjectOU

                #Create Credential Object For Active Directory Operations
                    $Credentials = (New-Object System.Management.Automation.PSCredential("$Domain\$UserName", $Password))

                #Join the specified Active Directory Domain
                    $Device_JoinDomain = (Add-Computer -DomainName $Domain -Credential $Credentials -Force -Verbose)

                #Wait 15 Seconds
                    (Start-Sleep -Seconds "15")        
            }
   }                    

Если сценарий НЕ выполняется в последовательности задач Microsoft Deployment Toolkit, выполните следующие действия.

ElseIf (!(Test-Path -Path TSEnv: -ErrorAction SilentlyContinue))

    {
        #Convert the password to a Secure String
            $Password = (ConvertTo-SecureString -String "$Password" -AsPlainText -Force)            

        #Create Credential Object For Active Directory Operations
            $Credentials = (New-Object System.Management.Automation.PSCredential("$Domain\$UserName", $Password))

        #Join the specified Active Directory Domain
            $Device_JoinDomain = (Add-Computer -DomainName $Domain -Credential $Credentials -Force -Verbose)

        #Wait 15 Seconds
            (Start-Sleep -Seconds "15")
    }

Прекратить запись выходных данных сценария, если присутствует переключатель «/Log»

Get-Variable | Out-GridView -Title "Переменные, собранные из $ ScriptName.ps1" -Wait

Если ($ Журнал.IsPresent) {(Стоп-транскрипт)}