【发布时间】:2017-03-15 13:13:06
【问题描述】:
我正在尝试以编程方式加密文件夹(使用 Windows EFS)。以下 powershell 代码在通过 ISE powershell 控制台运行时可以正常工作。
$obj = New-Object -TypeName System.IO.FileInfo 'D:\Temp'
$obj.Encrypt()
但是,通过带有 test-kitchen 的厨师食谱在模拟用户下运行此程序会产生以下错误
powershell 的配方包装器:
ruby_block 'Enable encryption on folder' do
block do
command = <<-EOH
# Encrypt the folder
$obj = New-Object -TypeName System.IO.FileInfo 'D:\\Temp'
$obj.Encrypt()
EOH
powershell_out!(command, { user: username, password: pwd,
domain: domain})
end
end
导致以下堆栈跟踪:
PSMessageDetails :
Exception : System.Management.Automation.MethodInvocationException:
Exception calling "Encrypt" with "0" argument(s):
"The parameter is incorrect.
" ---> System.IO.IOException: The parameter is
incorrect.
at System.IO.__Error.WinIOError(Int32 errorCode,
String maybeFullPath)
at System.IO.File.Encrypt(String path)
at CallSite.Target(Closure , CallSite , Object )
--- End of inner exception stack trace ---
at System.Management.Automation.ExceptionHandlingOps
.CheckActionPreference(FunctionContext funcContext,
Exception exception)
at System.Management.Automation.Interpreter.ActionCa
llInstruction`2.Run(InterpretedFrame frame)
at System.Management.Automation.Interpreter.EnterTry
CatchFinallyInstruction.Run(InterpretedFrame frame)
at System.Management.Automation.Interpreter.EnterTry
CatchFinallyInstruction.Run(InterpretedFrame frame)
TargetObject :
CategoryInfo : NotSpecified: (:) [], MethodInvocationException
FullyQualifiedErrorId : IOException
ErrorDetails :
InvocationInfo : System.Management.Automation.InvocationInfo
ScriptStackTrace : at <ScriptBlock>, <No file>: line 5
PipelineIterationInfo : {}
注意:被模拟的用户是管理员组的一部分,并且对 D:\Temp 具有完全控制权。另一个关键观察结果是,如果我在通过 test-kitchen 运行 chef 之前以该用户身份执行交互式登录(RDP 会话),则上面的配方成功且没有任何问题,并且文件夹在本地加密,就像在控制台中交互式运行 powershell 一样。
异常似乎表明 System.IO.File.Encrypt 的路径参数未在内部某处设置/传递,但我不知道为什么这一次会起作用而不是另一次起作用。我确实尝试通过让配方以该用户身份对 localhost 运行 Invoke-Command 来创建用户配置文件,并且它确实创建了配置文件,例如(C:\users\... 被创建),但是 Encrypt() 调用仍然出错,并出现与上述相同的异常。 这似乎不是厨师或测试厨房的问题,而是由于加密文件系统错综复杂而在 powershell/windows 方面遗漏了一些东西,非常感谢任何帮助。
谢谢
【问题讨论】:
-
这是在 Win2k12R2、powershell 4.0、chef-client 12.13.37 上
-
这可能应该在此处删除并作为问题提交到我们的 GH 回购 :)
-
我不确定在未加载用户配置文件时是否可以访问 EFS 文件。 According to technet, 这是存储底层加密密钥的地方。这可以解释为什么它在用户登录时起作用。
-
@coderanger 你认为这是厨师客户内部的问题吗?还是 mixlib-shellout?
-
@HarryJohnston 是的,这就是它的样子。我的印象是,厨师的脱壳会促进这一点,所以也许正如 coderanger 建议的那样,我应该将其移至相应厨师的 github 存储库。但是,我也愿意接受任何增加上述 powershell 的建议,以便它可以执行先决条件的用户配置文件加载。
标签: windows powershell chef-infra test-kitchen