Estou tentando configurar um processo para que nossa equipe de suporte (não administradores) tenha acesso para habilitar ou desabilitar remotamente um grupo de regras de firewall do Windows.
Eu fiz o seguinte para chegar ao ponto de permitir o acesso remoto ...
Enable-PSRemoting -Force
winrm quickconfig
Set-Item -Path WSMan:\Localhost\Client\TrustedHosts -Value '$supteam' -Concatenate
New-NetFirewallRule -DisplayName <dispName> -Profile <profile> -Enabled True -Action Allow -RemoteAddress $supteam -Direction Inbound -LocalPort <winRMport> -Protocol TCP -Program System
Ao executar o comando ...
Invoke-Command -ComputerName <ipAddress> -ScriptBlock { netsh advfirewall firewall set rule group="<ruleGroupName>" new enable=<yes/no> } -Credential $creds
Eu recebo a seguinte saída ...
A operação solicitada requer elevação (Executar como administrador).
A sessão do PowerShell da qual estou executando o comando acima é aberta como Administrador (ou seja, a barra de título indica "Administrador: Windows PowerShell"). O Controle de Conta de Usuário (UAC) está desativado no servidor de destino.
NOTA: Eu também tentei usar o equivalente do PowerShell para (en) desativar as regras do firewall ...
Invoke-Command -ComputerName <ipAddress> -ScriptBlock { Get-NetFirewallRule -Group "<ruleGroupName>" | <Enable/Disable>-NetFirewallRule } -Credential $creds
E obtenha os seguintes tempos de saída 3 (um para cada regra) ...
Acesso negado.
+ CategoryInfo: PermissionDenied: (MSFT_NetFirewal ... ystemName = ""): root / standardcimv2 / MSFT_NetFirewallRule) [Enable-NetFirewallRule], CimException
+ FullyQualifiedErrorId: Erro de sistema 5 do Windows, Enable-NetFirewallRule
+ PSComputerName: ipAddress
Eu posso obter uma lista das regras usando ...
Invoke-Command -ComputerName <ipAddress> -ScriptBlock { Get-NetFirewallRule -Group "<ruleGroupName>" } -Credential $creds
Então, estou assumindo que as regras de firewall (en | dis) só podem ser feitas por membros do grupo Administrador local do servidor remoto.
Se minha suposição estiver correta, é possível permitir que um acesso de grupo não administrador modifique o firewall? Se assim for, quaisquer instruções ou links seriam muito apreciados!