RestrictedAdmin Mode Remote Destop Exchange Management Shell - 16.12.2021
von Thomas Windscheif / Microlinc
Symptom:
Restricted Admin Modus in der Remote Desktop-Session aktiviert
Exchange Verwaltungstools installiert
"Cannot serialize context[..]"
Ursache:
Durch den Restricted Admin-Mode wird bei der Delegierung der Credentials für die Remoting-Session der Exchange Management Shell nicht der aktuelle Benutzer sondern das Maschinenkonto verwendet (siehe: https://docs.microsoft.com/en-us/windows/security/identity-protection/remote-credential-guard#comparing-windows-defender-remote-credential-guard-with-other-remote-desktop-connection-options). Mit diesen Credentials kann der Exchange-Server offensichtlich nichts anfangen.
Lösung:
Exchange Management Shell "Als anderer Benutzer" ausführen und dieselben Credentials nutzen wie bei der Anmeldung an der RDP-Session.
Eine größere Herausforderung ist es, wenn man gleichzeitig auch noch lokale Administrator-Rechte benötigt.
In diesem Fall muss die normale PowerShell (powershell.exe)-Session zunächst "Als anderer Benutzer" ausgeführt werden und dann anschließend der folgende Befehl ausgeführt werden:
Start-Process C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -verb runAs -ArgumentList "-noexit -command `". 'C:\Program Files\Microsoft\Exchange Server\V15\bin\RemoteExchange.ps1'; Connect-ExchangeServer -auto -ClientApplication:ManagementShell `""
Der Befehl ruft einen neuen PowerShell-Prozess auf und fordert lokale Administrator-Rechte an, anschließend wird die Exchange Management Shell in die Session geladen.