Lúc này bạn cần phải quay lại ôn và nghiên cứu một cách chi tiết các kỹ thuật của kịch bản điều khiển xa trước khi chúng ta tiến xa hơn trong vấn đề này. Một cách cũng tốt cho bạn đó là nhảy vào và thử mọi thứ, tuy nhiên cách làm này đôi khi lại đưa bạn gặp phải bức tường. Để tránh gặp phải bức tường này chúng ta phải tìm hiểu về những nền tảng của chúng. Hai loại kịch bản điều khiển xa Có hai loại kịch bản điều khiển xa. Loại thứ nhất là...
Quản trị mạng Windows Script - Phần 9: Tìm hiểu kịch điều khiển xa Lúc bạn cần phải quay lại ôn nghiên cứu cách chi tiết kỹ thuật kịch điều khiển xa trước tiến xa vấn đề Một cách tốt cho bạn nhảy vào thử thứ, nhiên cách làm lại đưa bạn gặp phải tường Để tránh gặp phải tường phải tìm hiểu tảng chúng Hai loại kịch điều khiển xa Có hai loại kịch điều khiển xa Loại thứ chạy kịch máy tính A máy tính mục tiêu B để thực số hành động Trong thử nghiệm sử dụng kịch ChangeIPAddress.vbs, chúng tơi thay đổi dịng: strComputer = "." thành: strComputer = "xp2" Nếu sử dụng dòng đầu trên chạy kịch máy tính A thay đổi địa IP máy tính Cịn sử dụng dòng thứ hai chạy kịch máy tính A thay đổi địa IP máy tính B Kiểu thứ hai kịch điều khiển xa làm việc giống Tôi quản trị viên, đăng nhập vào máy tính A có kịch muốn sử dụng để thực số công việc máy tính B Tuy nhiên thay cố gắng chạy kịch máy tính A mục tiêu máy tính B, tơi muốn chạy kịch trực tiếp máy tính B Chính tơi đưa kịch từ máy tính A sang máy tính mục tiêu B sau chạy Tơi thực điều nào? Nếu có mơi trường Active Directory sau tơi thử chạy kịch kịch đăng nhập máy tính điều khiển xa Chúng ta xem thực tiếp theo, ý có hai loại kịch điều khiển xa • • Chạy kịch máy tính nội nhắm đến máy tính điều khiển xa Chạy kịch trực tiếp máy tính điều khiển xa Hãy diễn tả khác hai cách mô tả kịch điều khiển xa: • • Kiểu thứ liên quan đến việc kết nối đến máy tính điều khiển xa sau chạy kịch Kiểu thứ hay liên quan đến việc triển khai kịch cho máy tính điều khiển xa, sau chạy kịch Tìm hiểu kết nối kịch điều khiển xa Bây tập trung vào kiểu kịch điều khiển xa Nó có nghĩa chạy kịch máy tính cục bạn để kết nối đến máy tính điều khiển xa chạy ngược lại nó? Nó có ý nghĩa: • • • Kết nối mạng Nhận dạng người dùng Cho phép thích hợp Kết nối mạng Với kịch để thực điều máy tính điều khiển xa, trước tiên phải thành lập kết nối mạng với máy tính điều khiển xa Những vấn đề ngăn cản kết nối mạng bạn? Đầu tiên, vấn đề tên, kịch bạn giải hostname máy tính FQDN vào địa IP kịch bị lỗi Thứ hai, vấn đề tường lửa Chúng ta nhìn thấy viết trước, để có kịch WMI chạy cho máy tính điều khiển xa phải mở ngoại lệ quản trị từ xa Remote Administration tường lửa Windows máy tính điều khiển xa Bây bạn mở Windows Firewall applet từ Control Panel chọn tab Exceptions khơng thấy hộp kiểm Remote Administration gán nhãn mà bạn chọn để mở ngoại lệ Lý điều Control Panel applet có ý nghĩa dành cho người dùng gia đình sử dụng để cấu hình tường lửa họ Trong mơi trường doanh nghiệp, nơi Active Directory sử dụng, cách quản lý Windows Firewall ưa thích sử dụng Group Policy Chúng ta thấy viết trước thiết lập Group Policy mà cần cấu đây: Computer Configuration\Administrative Templates\Network\NetworkConnections\Windows Firewall\Domain Profile\Windows Firewall: Dho phép ngoại lệ quản trị từ xa trở Khi bạn nhắm đến sách máy tính điều khiển xa mở hai cổng TCP máy tính đó: cổng 445 135 • Cổng TCP 445 cổng dành cho lưu lượng vào Server Message Block (SMB), cổng bị khóa tường lửa máy tính điều khiển xa bạn khơng khơng thể kết nối tới WMI mà khơng thể kết nối đến cơng cụ quản trị MMC chuẩn Computer Management Khi cổng bị khóa bạn thử chạy kịch máy tính từ xa gặp số lỗi khó hiểu “System error 53 has occurred The network path was not found” – Lỗi hệ thống 53 xuất Đường dẫn mạng khơng tìm thấy… • Cổng TCP 135 cổng dành cho lưu lượng vào Distributed COM (DCOM) Đặc biệt hơn, cổng 135 cổng lắng nghe cho DCOM Service Control Manager (SCM), cung cấp dịch vụ RPC cho việc thuyết minh đối tượng COM Độ dài hay ngắn hai cổng TCP 135 445 cần phải mở tường lửa máy tính từ xa truy vấn WMI chạy từ máy tính cục đến sử dụng thành công RCP để kết nối dịch vụ WMI máy tính điều khiển xa đến thuyết minh thành công đối tượng DCOM máy tính từ xa Nhận dạng người dùng Khi bạn chạy kịch cho máy tính điều khiển xa thiết lập kết nối mạng với máy tính từ xa, sau kịch thực hành động máy tính từ xa Nhưng hành động mà thực lại phụ thuộc vào nhận dạng với kịch chạy máy tính điều khiển Ví dụ tơi đăng nhập vào máy tính A sử dụng tài khoản người dùng tên miền thông thường Sau tơi chạy kịch ChangeIPAddress.vbs nhắm vào máy tính điều khiển xa B Kịch sử dụng RPC để kết nối đến dịch vụ WMI máy tính B thay đổi địa IP máy tính B Nhưng bất thành Lý sao? Ai cố gắng thực hành động máy tính điều khiển xa? Trên máy tính cục (máy tính A) bạn người dùng chạy kịch mặc định thân cho nhận dạng bạn, nghĩa kịch thực hành động nhận dạng bạn (tài khoản người dùng bạn) Vì kịch thay đổi địa IP máy tính điều khiển xa, có hiệu bạn, người dùng miền, người thực điều Mặt khác hỏng việc thay đổi yêu cầu đến ủy nhiệm quản trị viên cục Vì vậy, bạn ngồi máy tính A, đăng nhập vào người dùng miền bạn muốn sử dụng kịch để thay đổi địa IP máy tính B Bạn thực chúng sau: Kịch ChangeIPAddress.vbs bạn thay đổi sau: Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2") với strUser = "Administrator" strPassword = “Pa$$w0rd” Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2", strUser, strPassword) Vấn đề không an toàn – mật tài khoản quản trị viên cho máy tính từ xa có văn kịch bị quan sát Vậy làm để loại bỏ hai dòng giấu giá trị strUser strPassword cho kịch đối số kịch chạy? Tốt việc mã hóa cứng giá trị kịch bản, có chương trình chạy (như Network Monitor 3.0) họ lấy thơng tin quan trọng bạn thỏa hiệp máy tính từ xa Sẽ bạn sử dụng lệnh nâng cao runas /user:Administrator cmd.exe sau chạy kịch từ cửa sổ lệnh nâng cao mà không cần định thơng tin quan trọng khác? Đó giải pháp tốt cho kịch từ xa, nơi bạn muốn bảo đảm kịch có nhận dạng thích hợp (thường quản trị nội máy tính mục tiêu) phức tạp Rõ ràng, bạn đơn giản việc đăng nhập vào máy trạm làm việc tài khoản quản trị miền đơn giản mở lệnh chạy kịch Cho phép thích hợp Bạn chạy kịch máy tính A kịch giả định để thực số hành động máy tính B Kịch thành lập kết nối mạng với dịch vụ WMI máy tính B cố gắng thực hành động sử dụng nhận dạng (thường thông tin quản trị viên cục bộ) máy tính B Những làm cho kịch bị hỏng đây? Không đủ cho phép! Nếu kịch cố gắng thực số hành động điều khiển ACL (như việc thay đổi đối tượng file tạo đối tượng Active Directory kích hoạt đối tượng DCOM) bạn khơng có cho phép thích hợp để thực hành động kịch bị lỗi Khơng may thay thường phần khó kịch điều khiển xa có cho phép NTFS, DCOM nhiều kiểu cho phép khác Windows Bạn có cho phép khơng có quyền đúng, nghĩa quyền người dùng để thực số hành động Ví dụ, nói bạn muốn sử dụng kịch để xóa kiện đăng nhập máy tính điều khiển xa nhận dạng bạn thiếu quyền bảo mật SeSecurityPrivilege máy tính từ xa kịch bạn bị lỗi Có nhiều để học kịch điều khiển xa Chúng tiếp tục giới thiệu với bạn ... với kịch chạy máy tính điều khiển Ví dụ tơi đăng nhập vào máy tính A sử dụng tài khoản người dùng tên miền thông thường Sau tơi chạy kịch ChangeIPAddress.vbs nhắm vào máy tính điều khiển xa B Kịch. .. bạn muốn sử dụng kịch để xóa kiện đăng nhập máy tính điều khiển xa nhận dạng bạn thiếu quyền bảo mật SeSecurityPrivilege máy tính từ xa kịch bạn bị lỗi Có nhiều để học kịch điều khiển xa Chúng... tính điều khiển xa đến thuyết minh thành công đối tượng DCOM máy tính từ xa Nhận dạng người dùng Khi bạn chạy kịch cho máy tính điều khiển xa thiết lập kết nối mạng với máy tính từ xa, sau kịch