Евгений, на винде ,если юзер админ, ключ должен лежать в отдельном файлике рядом с конфигами-в c:\programdata\ssh. Не помню точного названия, но что-то типа adminautorized_keys - там найдёте
А где логи сервера? Наверняка там ответ.
Публичный ключ у него в authorized _keys там лежит?
Сервер вообще кто? Если винда и юзер - админ, там своя тонкость
Далее, я меняю учётную запись на свою основную User3
имеете ввиду что переключаетесь на другого юзера не выходя из этого - это всё тот же запуск шелла - secondary logon.
То есть это не тот способ, который сможет нормально работать в реальности. Если только не включать на той машине автологин под нужным юзером, что довольно бредово, так как пароль для него в голом виде в реестре лежит.
В какой-то из ссылок был способ запуска UWP через утилиту из SDK - надо попробовать его.
И другой, как в последнем варианте, запускать через explorer - тогда хотя бы шелл организуется.
Можно ещё попробовать сделать запуск вашей утилиты через шедулер на автостарт.
Но в любом случае костыли костыльные. Похоже, МС вообще не предполагает неинтерактивной работы UWP.
А нельзя от него вообще избавиться ? Мне кажется это самое правильное :)
Борис Животное, Несколько сумбурно, но вроде как понял :)
Предположим, вы User1, IISUser - тот, под которым нужен пул и он не работает
1. Если пул под IISUser, Вы залогинились под User1 - не работает
2. Если пул под User1, вы залогинились по User1 - всё работает
В этом случае напрашивается тест - вы логинитесь на машину под IISUser, в то время как пул под User1
Честно говоря не вникал, как работает UWP приложение и чем обеспечивается трансляция URI в приложение
Но подозреваю, что там некая переработка APP-V, а это довольно навороченная технология и сложный механизм запуска.
1. Вы этот POST делаете в то же время когда сами залогинены на машине ? а если не залогинены ?
2. Профиль у того, другого, юзера уже есть? приложение под ним установлено ?
Вот это "string clientCommandLineArgs = "someclient://run-service?session-id=****";"
должно было быть в вопросе :)
Предположу, что если вы укажете пусть к конкретному исполняемогу файлу (C:\Windows\System32\whoami.exe /all, как я предложил) - то он у вас запустится.
фактически ведь получается, вы не запускаете процесса как такового. имени процесса нет. зато есть некий url, и в этом случае вам надо копать, как так получается что при вызове url запускается процесс. а происходит это, обычно с помощью обработчика shell, которого (shell), конечно, внутри IIS нету.
Борис Животное, Чтобы разобраться надо понимать в чём именно :) возможно, учётные записи тут не причина, а симптом.
CLSID вы зря замазали, по ним как раз гуглить можно.
если даже гугл ничего не подскажет, в эвентах как раз написано решение - запускаем dcomcnfg.exe и даём нужному приложению права на локальную активацию. Если, конечно, это действительно оно.
Если же приложение вам не знакомо, можно поискать по этим гуидам в реестре и сообразить от чего они
Борис Животное, Да при чём здесь книги?
Любое решение любой проблемы - это
1. диагностика. что вообще происходит. не работает, падает, не выполняет того что хотелось бы и тд. логи прилагаются, записи в eventlog такие-то
2. Проблема - что-то где-то не так. У меня есть такие-то результаты тестов, но я не знаю как их правильно интерпретировать. На этом этапе имеет уже смысл задавать вопросы.
3. Поиск решения. Правильно задавать вопросы тут, но можно и на шаг раньше
Вы же задаёте вопрос где-то на пункте 0, но сразу просите пункт 3.
Ответ на такой вопрос можно получить только если он из категории FAQ
Но тогда его и задавать не стоит, достаточно поискать.
Потому что даже "не работает", которого нет в оригинальном вопросе тоже может быть разным. Ведь только вы знаете вашу задачу.
Диагностика хоть какая-то была ?
Что бы делал я на вашем месте в плане диагностики:
определиться что такое "не работает" - это падение или нет.
если "не работает" и падение - есть логи, есть события, есть возможность включить расширенную трассировку или хотя бы посмотреть process monitor
если "не работает" - не выполняет задачу, то опять же. на каком этапе.
объект PS создаётся ли, работает ли (вместо старта процесса банальный вывод в файл)
Если PS создаётся, но работают не все команды, проверить что работает, что нет.
Проверить какие права получает ваш код. какие у него привилегии.
простейший способ - запустить (методами c#) whoami /all с выводом результата в файл.
Уже в этот момент ваши вопросы будут звучать иначе. а может, с учётом предыдущих вопросов, уже что-то и решится.
Для начала можно просто попробовать запускать пул из-под юзера, которому можно использовать существующую конфигурацию. или в существующий конфиг добавить юзера из пула
Борис Животное, Права посмотрите какие есть у юзера, под которым пул запускается Get-PSSessionConfiguration а лучше создайте для него персональную сессию
Денис Юрьев, То есть вы считаете, что если поместили все сертификаты в один файл и на него дали ссылку в конфиге, то как бы вы дополнительные всё таки не указали и никто о них не знает ? :)
или всё же указали, но в том же файле, как, собственно, nginx и хочет
А где скрипт ? как он отправляет письмо, как авторизуется ? что значит "сначала проходит авторизация", "потом идет отправка письма" - это одна команда или несколько ? что за почтовый сервер ?
Григорий Бондаренко, тут вопрос сильно глубже.
Ваш первоначальный вопрос о том, "как подключиться к рабочей станции под недоменной учёткой", ответ о том "насколько страшно подключаться к раб. станциям под доменным админом."
Керберос при работе паролей не использует, только для получения первоначального тикета от DC, причём тикеты там нескольких видов.
Так что на самом деле вас должен волновать вопрос, какие следы остаются на раб. станции после подключения к ней под доменным админом (тикеты kerberos, например, или открытые сессии) и может ли хакер, перехватив их, использовать для дальнейшего проникновения куда-либо.
Скорее всего нет, так как по умолчанию тикеты там на соединение хост-хост. Но бывает всякое, о чём и ссылка. Что там в этом случае я не знаю, так что в общем, я бы повторил рекомендацию Mnemonic0, не подключаться никуда с DC.
И вообще не заходить туда. Так, на всякий случай. всё администрирование можно вести удалённо