PSCredential 和 PowerShell

如果您花时间使用 PowerShell 来管理用户、计算机或 Office 365 资源，您可能遇到过术语 PSCredential。

但 PSCredential 到底是什么以及如何使用它？

一包中的用户名和密码

PSCredential 是一组凭据的占位符 - 它基本上包含用户名和密码。

PSCredential 对象提供了一种安全且方便的方式来处理用户名和密码。

通过将您的凭据包装为对象并将其存储在 PowerShell 变量中，例如$Credential，您可以以您认为合适的任何方式以编程方式使用它。

在大多数情况下，您可能会将其用作 cmdlet 的参数。通过提供 PSCredential 对象作为参数，您可以以“其他人”的身份运行 cmdlet。

如何使用 PSCredential

许多 PowerShell cmdlet 都带有“-Credential”参数，允许您更改命令的安全上下文。有几个用例：

• 也许您遵循 Microsoft 最佳实践并使用非特权帐户登录系统，但需要使用管理员凭据运行脚本？
• 也许您正在连接到 Office 365 等外部资源，并且需要在外部资源的上下文中进行验证？

使用管理员帐户从 AD 检索所有销售部门用户可能如下所示：

Get-ADUser -LdapFilter "{department=sales}" -Credential $Credential

使用 Office 365 凭据通过 MSOnline 模块连接到 Office 365 可能如下所示：

Connect-MsolService -Credential $Credential

如何创建 PSCredential 对象

创建 PSCredential 对象的最简单方法是使用以下命令：

$Credential = Get-Credential

此命令将生成以下提示，您可以在其中输入凭据：

如下面的输出所示，您现在有一个 PSCredential 对象存储在 $Credential 变量中。正如预期的那样，该变量有两个属性，用户名和密码：

PS C:\> $Credential  | fl


UserName : [email protected]
Password : System.Security.SecureString

UserName 属性采用明文形式，但密码存储为SecureString。相对于简单字符串，SecureString 存储在内存中时具有更好的保护。

您可以使用以下代码行将 SecureString 转换回明文：

$BSTR = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($Credential.Password)
$ClearTextPassword = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($BSTR)
Write-Host $ClearTextPassword

如何跨会话保存和重用 PSCredential

如果您正在编写大量脚本，您可能会发现一遍又一遍地重新输入凭据很烦人。

幸运的是，通过使用 Windows 中的内置数据保护 API (DPAPI)，您可以安全地将凭据存储在系统上并在以后重复使用。

DPAPI 可以通过使用来自用户和系统帐户的密钥材料来加密和解密信息（例如密码）。这意味着，只有当同一用户登录到同一台计算机时，加密信息才有效：

• 如果其他用户登录同一台机器，则加密的密码文件无法解密
• 如果同一用户将加密的密码文件复制到另一台机器上，则无法解密

作为示例，让我们看一下我们之前创建的 PSCredential 变量 $Credential。以下命令将生成表示加密密码属性的十六进制编码文本字符串：

$Credential.Password | ConvertFrom-SecureString

输出将类似于以下内容：

PS C:\> $Credential.Password | ConvertFrom-SecureString
01000000d08c9ddf0115d1118c7a00c04fc297eb01000000b155b49e1a35784e96809015c36241800000000002
0000000000106600000001000020000000baa7c2525c4dd6fb6e93251dd839336760330ddf917edfe610e134b6
b5981544000000000e8000000002000020000000971810461216541e5477d648e537c92eab5982fcd89a9b2a6e
edcc5183fd94122000000067029d7226335b98da23727372ce1fa950d9585effc77232e883883cf5dd47394000
00001d93c3b57e62babdc212536d44a39bffd13934b6c90cb3eab2d78a63380e252a8ebb8cc37339b0e4767072
454a032236cdcc60807d742003c08b2d83cc6a0b11

如果您将此字符串保存到文本文件中，则可以在稍后需要凭据时重新加载密码。只需使用类似于以下的代码重新生成 PSCredential 对象：

$HexPass = Get-Content "c:\Data\Password.txt"
$Credential = New-Object -TypeName PSCredential -ArgumentList "[email protected]", ($HexPass | ConvertTo-SecureString)

如下输出所示，凭据是正确的：

PS C:\> $BSTR = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($Credential.Password)
PS C:\> [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($BSTR)
somepassword

如果您使用其他帐户登录系统并尝试从保存到磁盘的加密密码生成 PSCredential，您将收到数据无效的错误：

ConvertTo-SecureString : The data is invalid.
At line:1 char:104
+ ... List "[email protected]", ($HexPass | ConvertTo-SecureString)
+                                                   ~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (:) [ConvertTo-SecureString], CryptographicException
    + FullyQualifiedErrorId : ImportSecureString_InvalidArgument_CryptographicError,Microsoft.PowerShell.Commands.ConvertToSecureStringCommand

如何在没有 PowerShell 的情况下管理 Office 365

许多管理员对您需要 PowerShell、多个 Web 控制台和本地 Exchange Server 来管理 Office 365 感到沮丧。

借助 Easy365Manager，所有日常 Office 365 邮箱操作都可以从 AD 用户和计算机完成：

Easy365Manager 是 AD 用户和计算机的一个小型管理单元， 使用两个新选项卡扩展用户属性，因此您不再需要在多个 Web 控制台之间切换来执行日常管理：

使用 Easy365Manager，您可以从 AD 用户和计算机执行所有日常任务：

• 分配 Office 365 许可证
• 管理共享邮箱委派
• 配置日历权限
• 配置代理地址（带有格式和唯一性检查）
• 复制 Azure AD Connect

还有更多。请在此处查看完整的功能列表。

此外，Easy365Manager 允许您删除本地 Exchange Server。这将为您提供 100% 的保护，防止未来针对 Exchange Server 的零日攻击。

立即尝试功能齐全的 30 天试用版。只需几分钟即可安装，零学习曲线，并且保证您在周末之前节省了几个小时的工作时间！