SSHを使用したPowerShellの例

Windowsサービスの「Log on as」認証情報を更新するためのPAMスクリプト

前へWinRPCを使用したPowerShellの例次へWinRPCを使用したバッチスクリプト例

最終更新 2 か月前

SSHを使用したPowerShellの例

Windowsサービスの「Log on as」認証情報を更新するためのPAMスクリプト

概要

以下のPowerShellコード例では、PowerShell 7を使用して確立したSSHセッションにおいてKeeper ローテーションでパスワードをローテーションした後、Windowsサービスの「Log on as」認証情報を更新します。

例

この例では、確立された「SSH」セッションを介してWindowsベースのターゲットシステムに対して「Invoke-Method」を使用し、サービスの管理にはPowerShell 7のネイティブコマンドレットを使用します。この場合、「Microsoft.PowerShell.Management」とそのサブコマンド (「Get-Service」や「Set-Service」など) を使用して、ターゲットWindowsサービスの「Log on as」認証情報を管理します。

手順 1

Invoke-Commandを使用したPowerShellスクリプト (SSHを利用)

[CmdletBinding()]
param (
    [Parameter(ValueFromPipeline=$true)]
    [string]
    $Record
)

try {
    # このセクションでは、PAMユーザーレコード情報を取得しますn
    Write-Debug "Decoding and converting the PAM User Record Information from Base64"
    $RecordJsonAsB64 = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($Record))
    
    if (-not $RecordJsonAsB64) {
        throw "Failed to decode the PAM User Record Information from Base64."
    }

    Write-Debug "Converting the decoded JSON to PowerShell object"
    $RecordParams = $RecordJsonAsB64 | ConvertFrom-Json

    if (-not $RecordParams) {
        throw "Failed to convert the decoded JSON to PowerShell object."
    }
    Write-Debug "PAM User Record Information successfully retrieved and converted."
}
catch {
    Write-Error "An error occurred while processing the PAM User Record Information: $_"
}
finally {
    Write-Debug "Completed processing the PAM User Record Information."
}
# セクションの終了


try {
    # このセクションでは、すべての関連レコードとそのパラメーター情報を取り込みます。
    Write-Debug "Decoding and converting all associated records from Base64"
    $recordsJSON = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($RecordParams.records))
    
    if (-not $recordsJSON) {
        throw "Failed to decode the associated records from Base64."
    }

    Write-Debug "Converting the decoded JSON to PowerShell object"
    $records = $recordsJSON | ConvertFrom-Json

    if (-not $records) {
        throw "Failed to convert the decoded JSON to PowerShell object."
    }
    Write-Debug "Associated records successfully retrieved and converted."
}
catch {
    Write-Error "An error occurred while processing the associated records: $_"
}
finally {
    Write-Debug "Completed processing the associated records."
}
# セクションの終了


try {
    # このセクションでは、ユーザーレコードからパラメーターを定義します。「remotecomp」と「service」は、PAMユーザーレコードのカスタムフィールドから取得されます。
    Write-Debug "Defining parameters from the User Record"
    $ErrorActionPreference = 'Stop'
    $DebugPreference = 'Continue'
    
    $remoteComputer = ($records | Where-Object {$_.uid -eq $RecordParams.userRecordUid}).remotecomp
    if (-not $remoteComputer) {
        throw "Failed to retrieve 'remotecomp' from the User Record."
    }
    
    $serviceName = ($records | Where-Object {$_.uid -eq $RecordParams.userRecordUid}).service
    if (-not $serviceName) {
        throw "Failed to retrieve 'service' from the User Record."
    }

    $user = ($RecordParams.user)
    if (-not $user) {
        throw "Failed to retrieve 'user' from the User Record."
    }

    $newPassword = ($RecordParams.newPassword)
    if (-not $newPassword) {
        throw "Failed to retrieve 'newPassword' from the User Record."
    }

    Write-Debug "Parameters from the User Record successfully defined."
}
catch {
    Write-Error "An error occurred while defining parameters from the User Record: $_"
}
finally {
    Write-Debug "Completed defining parameters from the User Record."
}
# セクションの終了


    try {
        # このセクションでは、AD管理リソースレコードを使用して新しいPSSessionを作成します
        Write-Debug "Creating a new SSH Session with the AD Administrative Resource Record"
        $session = New-PSSession -HostName $remoteComputer -UserName $user -ErrorAction Stop
    
        if (-not $session) {
            throw "Failed to create a new SSH Session."
        }
        Write-Debug "SSH Session created successfully."
    }
    catch {
        Write-Error "An error occurred while creating the SSH Session: $_"
    }
    finally {
        Write-Debug "Completed the attempt to create a new SSH Session."
    }
    # セクションの終了

    try {
        # このスクリプトブロックはリモートコンピューター上のサービスの状態を確認します
        Write-Debug "Checking the status of $serviceName"
        $serviceStatus = Invoke-Command -Session $session -ScriptBlock {
            param ($serviceName)
            try {
                $service = Get-Service -Name $serviceName -ErrorAction Stop
                return $service.Status
            }
            catch {
                throw "An error occurred while retrieving the service status: $_"
            }
        } -ArgumentList $serviceName
    
        if ($serviceStatus -eq 'Stopped') {
            Write-Debug "$serviceName is already stopped. Skipping the stop service script."
        }
        else {
            try {
                # このスクリプトブロックはリモートコンピューター上のサービスを停止します
                Write-Debug "Stopping $serviceName"
                $stopServiceResult = Invoke-Command -Session $session -ScriptBlock {
                    param ($serviceName)
                    try {
                        Stop-Service -Name $serviceName -Force -ErrorAction Stop
                        $service = Get-Service -Name $serviceName
                        if ($service.Status -ne 'Stopped') {
                            throw "Service did not stop successfully. Current status: $($service.Status)"
                        }
                        Write-Output "Service stopped successfully"
                    }
                    catch {
                        throw "An error occurred while stopping the service: $_"
                    }
                } -ArgumentList $serviceName
    
                if ($stopServiceResult -ne "Service stopped successfully") {
                    throw "Service stop operation did not return success."
                }
            }
            catch {
                Write-Error "An error occurred while stopping the service: $_"
            }
        }
    }
    catch {
        Write-Error "An error occurred while checking or stopping the service: $_"
    }
    finally {
        Write-Debug "Completed checking and stopping the service."
    }
    

    try {
        # このスクリプトブロックはリモートコンピューター上のサービスのパスワードを更新します
        Write-Debug "Changing $serviceName password"
        $passwordChangeResult = Invoke-Command -Session $session -ScriptBlock {
            param ($serviceName, $user, $newPassword)
            try {
                $service = Get-CimInstance -ClassName Win32_Service -Filter "Name='$serviceName'" -ErrorAction Stop
                $result = Invoke-CimMethod -InputObject $service -MethodName Change -Arguments @{StartName=$user; StartPassword=$newPassword}
                if ($result.ReturnValue -eq 0) {
                    Write-Output "Password changed successfully"
                }
                else {
                    throw "Failed to change password with return value $($result.ReturnValue)"
                }
            }
            catch {
                throw "An error occurred while changing the service password: $_"
            }
        } -ArgumentList $serviceName, $user, $newPassword
    
        if ($passwordChangeResult -ne "Password changed successfully") {
            throw "Password change operation did not return success."
        }
    }
    catch {
        Write-Error "An error occurred while changing the service password: $_"
    }
    finally {
        Write-Debug "Completed changing the service password."
    }
    

    try {
        # このスクリプトブロックはリモートコンピューター上でサービスを開始します
        Write-Debug "Restarting $serviceName"
        $startServiceResult = Invoke-Command -Session $session -ScriptBlock {
            param ($serviceName)
            try {
                Start-Service -Name $serviceName -ErrorAction Stop
                $service = Get-Service -Name $serviceName
                if ($service.Status -ne 'Running') {
                    throw "Service did not start successfully. Current status: $($service.Status)"
                }
                Write-Output "Service started successfully"
            }
            catch {
                throw "An error occurred while starting the service: $_"
            }
        } -ArgumentList $serviceName
    
        if ($startServiceResult -ne "Service started successfully") {
            throw "Service start operation did not return success."
        }
    }
    catch {
        Write-Error "An error occurred while restarting the service: $_"
    }
    finally {
        Write-Debug "Completed attempting to restart the service."
    }
        # スクリプトブロックの終了.

# このセクションでは、SSHセッションを削除します。
Remove-PSSession -Session $session
# セクションの終了on

手順 2

スクリプトの実行

前へWinRPCを使用したPowerShellの例次へWinRPCを使用したバッチスクリプト例

最終更新 2 か月前