个人主页杨利杰YJlio❄️个人专栏《Sysinternals实战教程》 《Windows PowerShell 实战》 《WINDOWS教程》 《IOS教程》《微信助手》 《锤子助手》 《Python》 《Kali Linux》《那些年未解决的Windows疑难杂症》让复杂的事情更简单让重复的工作自动化PsTools 学习笔记7.1工具家族总览与系统要求、安装要点1. 为什么要学习 PsTools2. PsTools 是什么3. PsTools 常用工具家族速查4. 系统要求与远程连接前提4.1 操作系统要求4.2 权限要求4.3 网络与服务要求4.4 安全软件与 EDR5. 下载、安装与 PATH 配置5.1 推荐目录5.2 加入系统 PATH5.3 接受 EULA5.4 验证安装6. 首命令最小可用示例6.1 远程执行一条命令6.2 获取系统信息与磁盘信息6.3 查看登录用户6.4 查询服务状态6.5 远程重启7. 一条龙环境体检命令8. 常见问题与最佳实践8.1 Access is denied8.2 The network path was not found8.3 RPC server unavailable8.4 密码错误或账户锁定8.5 EDR 或安全软件拦截9. 企业环境使用建议9.1 最小权限9.2 可追溯9.3 批量前先单机9.4 先采集再修复10. 小结参考资料1. 为什么要学习 PsTools在 Windows 桌面运维和企业终端支持中我们经常会遇到这种情况用户机器在远端远程桌面不一定能连上用户又说不清楚问题细节但我们需要快速确认系统信息、服务状态、登录用户、进程情况甚至在维护窗口内远程重启机器。这时如果只依赖图形界面效率会很低。PsTools 的价值就在这里它把很多常见远程管理动作变成了命令行工具可以配合批处理、PowerShell、资产清单和批量脚本使用。Sysinternals 是微软官方提供的高级系统工具集合官方说明中也明确提到 Sysinternals 站点由 Mark Russinovich 于 1996 年创建用于托管高级系统工具和技术信息。PsTools 正是这个体系里非常实用的一组命令行工具。:contentReference[oaicite:2]{index2}我的理解是PsTools 不是为了替代 SCCM、Intune、EDR 或远程控制平台而是在你需要快速、轻量、脚本化处理 Windows 主机时提供一套很直接的命令行抓手。2. PsTools 是什么PsTools 是 Sysinternals 里的 Windows 命令行远程运维套件。它的典型能力包括远程执行命令、查看进程、终止进程、查询服务、读取事件日志、查看登录用户、远程关机重启等。微软官方对 PsTools 的定位是这套工具包含用于列出本地或远程计算机进程、远程运行进程、重启计算机、转储事件日志等命令行工具。:contentReference[oaicite:3]{index3}这张图展示的是 PsTools 工具家族的整体能力包括远程执行、服务管理、进程控制、日志取证、远程关机和批量运维等。从图中可以看出PsTools 不是一个单独命令而是一组围绕远程 Windows 管理展开的小工具。它们的共同特点是轻量、命令行化、适合脚本集成。对桌面支持工程师来说最常见的使用方式不是“开一个工具看界面”而是把这些命令嵌入到排障脚本、批量检查脚本和应急处理流程里。推荐把 PsTools 放到固定工具目录例如 C:\Tools\PsTools并把这个目录加入 PATH。这样后续写脚本时不用反复写完整路径。3. PsTools 常用工具家族速查原文中按 12 个高频工具展开这个思路是对的。不过这里要补一个细节官方 Sysinternals Suite 当前列表中也包含 PsPing它更偏网络连通性与延迟测试。本文主线仍然按桌面运维高频 12 个工具讲解PsPing 可以放到后续网络专项里单独展开。:contentReference[oaicite:4]{index4}工具核心作用典型使用场景PsExec远程执行命令或程序远程执行修复脚本、拉取信息、打开远程命令行PsFile查看或关闭远程共享打开文件处理文件被占用、共享文件无法删除PsGetSid获取计算机或账户 SID权限排查、账户识别、资产核查PsInfo获取系统软硬件信息快速查看系统版本、补丁、磁盘、内存PsKill结束本地或远程进程处理卡死进程、僵尸进程、批量止损PsList查看进程、线程、内存、CPU 等远程性能快照、进程状态检查PsLoggedOn查询当前登录用户判断谁正在使用机器、谁占用共享资源PsLogList读取事件日志不登录目标机拉取系统/应用日志PsPasswd修改本地或远程账户密码合规场景下批量改本地账户密码PsService查询、启动、停止、配置服务服务异常、服务启动失败、远程修复PsShutdown远程关机、重启、注销维护窗口批量重启、统一关机PsSuspend暂停或恢复进程临时冻结可疑进程保留现场这里要注意PsTools 的能力很强但越强的工具越要管住边界。尤其是 PsExec、PsKill、PsPasswd、PsShutdown 这类会直接改变目标机器状态的工具必须在授权范围内使用。从排障角度看PsTools 最有价值的不是“能远程操作”而是能把远程主机变成可脚本化对象。你可以把一台机器的问题扩展成几十台机器的批量检查。4. 系统要求与远程连接前提PsTools 很多报错并不是工具本身坏了而是前置条件没有满足。企业现场最常见的问题是账户不是管理员、防火墙没放行、Admin$ 被禁用、RPC 不通、时间不同步、EDR 拦截远程服务创建。这张图展示的是使用 PsTools 前需要准备的系统与环境前提包括 Windows 客户端/服务器、管理员权限、SMB 445、RPC 135、Admin$ 共享、防火墙、EDR 白名单和时间同步。从图中可以看出PsTools 的远程操作不是“只要知道 IP 就能连”。它依赖目标主机的网络可达性、共享访问、服务控制管理器权限以及安全策略。现场排障时如果第一条命令失败不要立刻怀疑 PsTools要先检查这些基础条件。4.1 操作系统要求在常见企业环境中Windows 10、Windows 11、Windows Server 版本一般都可以作为管理端或目标端。实际使用时建议使用与系统位数匹配的工具版本尤其是在批量脚本中要固定工具路径避免调用到错误版本。4.2 权限要求远程管理目标主机时通常需要目标机本地管理员权限或者具备等效权限的域账户。工作组环境下使用本地管理员账号远程连接时还可能受到 UAC 远程限制影响。推荐在域环境中使用专用运维服务账户并按最小权限原则授权不要随便使用个人域管理员账号长期跑批量脚本。4.3 网络与服务要求远程使用 PsTools 前至少要确认以下通路ping PC-001 net view \\PC-001 dir \\PC-001\ADMIN$这些命令分别用于检查基础连通性、共享枚举以及 Admin$ 是否可访问。如果 \\PC-001\ADMIN$ 都打不开那么 PsExec 这类工具大概率也无法正常工作。4.4 安全软件与 EDRPsExec 在远程执行时会涉及服务创建和远程进程启动一些 EDR 或安全软件会重点关注这类行为。这不是工具“不安全”而是它的行为特征确实接近远程管理和横向执行。企业环境中不要私自绕过安全软件。正确做法是走变更审批与安全团队确认工具来源、签名、使用范围和日志留存策略。5. 下载、安装与 PATH 配置PsTools 的安装很简单本质上就是下载、解压、接受 EULA、配置 PATH然后验证命令是否能正常执行。简单归简单但很多现场问题就卡在“路径不固定”和“首次运行 EULA 没处理”上。这张图展示的是 PsTools 的标准安装流程从官方下载 PsTools.zip解压到本地固定目录首次运行接受 EULA将目录加入 PATH最后通过命令验证。从图中可以看出安装流程并不复杂但每一步都影响后续自动化稳定性。特别是 PATH 和 EULA手工使用时问题不大脚本无人值守执行时就会变成阻断点。5.1 推荐目录建议解压到固定目录例如C:\Tools\PsTools不要把工具随手放在桌面、下载目录或中文路径很深的位置。固定目录更适合写脚本、做白名单和团队共享。5.2 加入系统 PATH管理员 PowerShell 中可以使用下面命令加入系统 PATHsetx/M PATH$($env:PATH);C:\Tools\PsTools执行后需要重新打开 CMD 或 PowerShell让新的环境变量生效。5.3 接受 EULA首次运行 Sysinternals 工具通常会提示 EULA。手工场景可以点确认批量或无人值守场景建议使用参数静默接受。psexec -accepteula psinfo -accepteula推荐在工具标准化部署脚本中统一处理 -accepteula不要等到真正排障时被 EULA 弹窗卡住。5.4 验证安装配置完成后可以用下面命令验证工具是否能被系统识别psexec -h psinfo -h pslist -h如果提示不是内部或外部命令大概率是 PATH 没生效或者当前终端没有重新打开。6. 首命令最小可用示例学 PsTools 不建议一开始背所有参数。更实际的方式是先跑通几条最小命令远程执行一条命令、查看系统信息、查看登录用户、查询服务、远程重启。只要这些能跑通说明账户、网络、共享、RPC 和工具路径基本都没问题。这张图展示的是 PsTools 的首命令最小可用示例从管理端连接目标主机完成远程执行、系统信息获取、登录用户查询、服务查询和远程重启。从图中可以看出这些命令覆盖了桌面支持最常见的几个动作确认机器能不能连、系统状态如何、谁正在登录、关键服务是否正常、是否需要维护重启。6.1 远程执行一条命令psexec \\PC-001 -u CORP\opsuser -p ****** ipconfig /all这条命令用于在远程主机 PC-001 上执行 ipconfig /all。如果执行成功说明远程执行通路、账号权限和目标主机服务状态基本正常。不要在共享文档、截图或博客中暴露真实密码。正式脚本里也不建议明文写 -p应结合安全凭据管理方案。6.2 获取系统信息与磁盘信息psinfo \\PC-001 -h -d这条命令适合快速查看远程机器系统信息、补丁信息和磁盘信息。做批量资产核查或故障前置检查时很有用。6.3 查看登录用户psloggedon \\PC-001这条命令可以帮助判断当前是否有用户登录或者是否有人通过共享资源连接过目标主机。维护前最好先确认用户状态避免直接重启影响办公。6.4 查询服务状态psservice \\PC-001 query Spooler psservice \\PC-001 query WinRM这类命令适合远程检查打印服务、远程管理服务、业务服务状态。如果服务异常可以继续结合 start、stop、restart 等动作处理。6.5 远程重启psshutdown \\PC-001 -r -t 60 -c 维护重启这条命令会让目标主机 60 秒后重启并显示维护提示。它适合维护窗口内使用不适合随意对用户办公机器执行。推荐顺序先 psloggedon 确认用户再执行重启动作。不要先重启再解释。7. 一条龙环境体检命令如果你只是想快速确认一台机器是否具备远程管理条件可以把常用命令整理成一条龙检查。这个动作适合工单初筛也适合批量脚本前的单机验证。:: 1. 快速验证身份与通路 psexec \\PC-001 -u CORP\opsuser -p ****** whoami :: 2. 获取基础系统信息与磁盘容量 psinfo \\PC-001 -h -d :: 3. 查看当前登录用户 psloggedon \\PC-001 :: 4. 查询关键服务状态 psservice \\PC-001 query WinRM psservice \\PC-001 query Spooler这组命令的目的不是一次解决所有问题而是快速回答四个问题我有没有权限、机器能不能连、用户是否在线、关键服务是否正常。准备使用 PsTools验证网络与 ADMIN$验证管理员权限查询系统信息确认登录用户检查关键服务决定是否执行修复或重启排障时不要一上来就执行高风险动作。先采集信息再决定是否修改、停止服务、杀进程或重启。8. 常见问题与最佳实践PsTools 现场使用时最常见的不是命令不会写而是环境条件不满足。比如拒绝访问、RPC 不可用、网络路径找不到、密码错误、UAC 远程限制、安全软件拦截等。这张图展示的是 PsTools 常见问题与最佳实践左侧是典型报错右侧是对应处理动作和上线使用原则。从图中可以看出报错处理要分层判断。不要看到 Access is denied 就只换密码也不要看到 RPC 报错就只重启服务。应该先判断是权限、网络、共享、防火墙、UAC、凭据还是 EDR 拦截。8.1 Access is denied常见原因包括账号不是目标机管理员、Admin$ 不可访问、UAC 远程限制、目标机安全策略阻断。可以先检查net use \\PC-001\ADMIN$ /user:CORP\opsuser dir \\PC-001\ADMIN$推荐先确认共享访问和管理员权限再排查 PsTools 参数。不要直接把问题归因到工具。8.2 The network path was not found这个错误通常和 DNS、目标主机在线状态、防火墙、SMB 445 端口有关。可以先用 IP 测试再用主机名测试判断是不是名称解析问题。ping PC-001 ping 192.168.1.100 net view \\PC-0018.3 RPC server unavailableRPC 不可用通常和 RPC 服务、135 端口、防火墙规则、动态 RPC 端口范围有关。部分工具依赖 RPC 与服务控制管理器交互因此网络安全策略会直接影响结果。8.4 密码错误或账户锁定如果提示用户名或密码错误先确认域前缀、账号状态、密码是否过期、是否被锁定。批量脚本中反复重试错误密码很容易触发账户锁定。不要在批量脚本里无限重试带密码命令。账号锁定后排障范围会被你自己扩大。8.5 EDR 或安全软件拦截PsExec 这类远程执行工具可能会被安全软件重点拦截。正确处理方式不是关闭安全软件而是走白名单、审批和日志留存。对企业来说安全团队拦截 PsExec 并不奇怪。真正成熟的做法是明确使用人、使用机器、使用目的、保留日志、限定范围。9. 企业环境使用建议PsTools 很适合桌面支持和应急排障但它不应该被当成“随便远程操作”的工具。企业环境更看重可追溯、最小权限、变更窗口和回滚方案。9.1 最小权限能只读就不要写能查询就不要修改能单机验证就不要直接批量。特别是 PsKill、PsShutdown、PsPasswd 这类命令必须谨慎使用。9.2 可追溯建议把命令执行时间、执行人、目标机器、执行结果写入日志。脚本化时可以统一输出到本地日志目录。psexec \\PC-001 whoami C:\Logs\pstools_check.log 219.3 批量前先单机任何批量执行前先挑一台测试机器跑通。尤其是涉及服务重启、进程终止、远程关机的命令不能直接对整批终端执行。9.4 先采集再修复遇到故障时先采集系统信息、事件日志、进程状态、服务状态再执行修复动作。否则问题恢复了证据也没了。推荐把 PsTools 变成标准化 SOP 的一部分先检查、再判断、再处理、最后验证。10. 小结PsTools 是 Windows 远程运维里非常实用的一组命令行工具。它的核心价值不是“炫技”而是把远程主机上的常见操作变成可脚本化、可批量化、可复用的命令。这篇文章重点完成了 7.1 的入门部分先认识 PsTools 的定位再梳理常用工具家族然后明确系统要求、权限、网络、共享、防火墙、EDR 等前置条件最后给出安装配置、首命令和常见问题排查方法。如果从企业桌面支持的角度看PsTools 的正确使用顺序应该是准备环境、验证通路、采集信息、执行动作、确认结果、记录日志。不要把 PsTools 当成绕过流程的工具。它越强越需要权限边界、日志留存和变更控制。建议后续继续深入 PsExec。因为在 PsTools 家族里PsExec 是使用频率最高、能力最强、也最容易被误用的核心工具。参考资料本文部分工具定位与官方工具列表参考 Microsoft Sysinternals 官方资料。Sysinternals 官方页面说明其站点由 Mark Russinovich 于 1996 年创建官方 PsTools 相关页面也说明该套件用于远程列出进程、远程运行进程、重启计算机、转储事件日志等场景。:contentReference[oaicite:5]{index5}返回顶部::contentReference[oaicite:6]{index6}