为什么域管理员可以在本地运行 powershell cmd，但使用同一帐户通过 WinRM 连接，命令返回 UnauthorizedAccessException？

Windows Update API 很特别。它通过检查您的令牌是否标记为远程来专门检查和禁止远程访问。不知道为什么要这样写。

我最终创建了一个计划任务并在其中调用了 Windows 更新 API - 非常麻烦。

根据 Get-WURebootStatus cmdlet 访问其信息的确切方式，我认为它可能与 PowerShell 中的“第二跳”问题有关。

当您进入远程 PowerShell 会话时，您要求 WinRM 使用您的凭据在远程主机上创建会话。如果在同一个会话中，您尝试访问需要这些凭据的另一个（远程）系统或服务，则请求将失败，因为远程计算机无权使用您的凭据对其他任何内容进行身份验证。“嘿，脚本专家！” 博客很好地解释了这一点：

http://blogs.technet.com/b/heyscriptingguy/archive/2012/11/14/enable-powershell-quot-second-hop-quot-functionality-with-credssp.aspx

出于同样的原因，在远程访问一台机器然后尝试使用 Test-Path 访问另一台远程机器共享路径时，您会看到同样（或类似）的问题。

解决方案（如博客文章中所述）是在创建 PSSession 时启用并使用 CredSSP 作为身份验证机制。

您还可以将命令包装在计划任务中并立即运行，但这是很多不必要的额外工作。

从 Stack Overflow 复制：Powershell Remote：Microsoft.Update.Session，拒绝访问：0x80070005：

当您处于远程 PowerShell 会话中时，您在此远程计算机上的登录会话被标记为“网络”登录（登录类型：3）。出于一些不明确的原因（安全？出售 SCCM？），部分Windows 更新代理 COM API 被限制为仅供本地登录的管理员使用。

建议使用 PsExec 和计划任务作为解决方法。

IMO，最无缝（并且仍然安全）的解决方案是促进PowerShell会话配置/ JEA的RunAs风格的“本地虚拟帐户”功能。通常，JEA 用于“限制”用户可以在远程计算机上以 PowerShell 方式执行的操作，但我们在这里（滥用）使用它来获得完全访问权限，就好像我们是本地登录的管理员一样。

ComputerB(1.) 在（远程服务器）上创建一个新的不受限制的（和持久的！）会话配置：

New-PSSessionConfigurationFile -RunAsVirtualAccount -Path .\VirtualAccount.pssc
# Note this will restart the WinRM service:
Register-PSSessionConfiguration -Name 'VirtualAccount' [-ShowSecurityDescriptorUI] -Path .\VirtualAccount.pssc -Force
# Check the Permission property:
Get-PSSessionConfiguration -Name 'VirtualAccount'
# Those users will have full unrestricted access to the system!

(2.) 从ComputerA（本地客户端）连接到我们在 ComputerB 上的无限制会话配置：

New-PSSession -ComputerName 'ComputerB' -ConfigurationName 'VirtualAccount' | Enter-PSSession
[ComputerB]: new-object -com "Microsoft.Update.Downloader" # Yay!

尝试使用Get-WURebootStatus -ComputerName <your remote computer> -Silent。