我最近在写PowerShell脚本，想从远程机器上卸载两个应用，但碰到了麻烦——明明用的是系统最高权限的管理员账号，访问远程机器文件时还是弹出访问拒绝的提示。以下是我目前写的代码片段：

$appname1 = "app1"
$appname2 = "app2"
$comp = Read-Host -Prompt "Computer Name"
$username = Read-Host -Prompt "Username"
$password = Read-Host -AsSecureString -Prompt "password" | ConvertTo-SecureString -asPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential($username, $password)
# 后续卸载逻辑尚未完成，目前卡在文件访问环节

可能的问题根源及解决思路 #

• UAC远程限制拦截：Windows默认会对本地管理员账号的远程访问做权限过滤，哪怕你用的是管理员账号，远程操作时也会被降权。解决办法是在目标机器上修改注册表：

  1. 打开注册表编辑器，导航到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  2. 新建或修改DWORD类型的LocalAccountTokenFilterPolicy，将值设为1
  3. 重启目标机器，或者执行Restart-Service WinRM重启远程管理服务

• WinRM未正确配置：远程PowerShell依赖WinRM服务，先确认目标机器已经开启了远程管理。你可以在本地执行Test-WSMan $comp测试连通性；如果失败，先在目标机器上运行Enable-PSRemoting -Force完成初始化配置。

• 直接访问远程路径的弊端：不要直接在本地脚本里访问远程机器的文件路径（比如\\$comp\C$\...），这种方式容易触发权限问题。推荐用Invoke-Command在远程会话中执行操作，比如：

  Invoke-Command -ComputerName $comp -Credential $credential -ScriptBlock {
      # 在这里写远程机器上的卸载或文件操作逻辑
      # 示例：卸载指定MSI安装的应用
      $apps = Get-CimInstance Win32_Product | Where-Object {$_.Name -in "app1", "app2"}
      foreach ($app in $apps) {
          $app | Invoke-CimMethod -MethodName Uninstall
      }
  }
  

  另外提一句：Win32_Product可能会触发MSI的自动修复流程，如果不想这样，可以改用查询卸载注册表项的方式获取卸载命令再执行。

• 检查文件实际权限：如果确实需要操作远程文件，先在目标机器上确认文件/文件夹的权限设置，确保你的管理员账号有完全控制权限——有时候即使是管理员，某些系统目录也会有额外的权限限制。

内容的提问来源于stack exchange，提问作者Park