Почему Windows Server 2012 R2 распознает локального администратора по сети в некоторых целях, но не других?
Я исследовал это подробно, но не могу найти решение конкретного вопроса, который я получаю. Очевидно существует много подобных проблем, которые регулярно вызывают проблемы для людей, пытающихся соединить или дать удаленные команды к Windows Server, но ни одно из решений я нашел справку в этом случае.
Сценарий (никакой включенный домен):
- Усера имеет учетную запись рабочей группы на WorkstationA (Окончательный Win7).
- Усера имеет учетную запись рабочей группы на ServerA (2 012 R2).
- Усера находится в Группе администраторов на обеих машинах.
С этой установкой Усера может к удаленному рабочему столу к серверу, и выполните задачи администрирования.
Но если Усера пытается закрыть ServerA от командной строки WorkstationA, даже от командной строки администратора, доступ запрещен:
shutdown /m \\ServerA /t 0 /s
ServerA: Access is denied.(5)
Точно так же прямой доступ запрещен к файловой системе сервера с помощью Windows Explorer, который инициировал диалоговое окно имени пользователя/пароля.
И вот вещь:
- Все это раньше работало на Сервере 2008 и 2008R2
- Если Усера входит в систему WorkstationA как пользователь под названием Администратор (вместо учетной записи Усера, которая находится в Группе администраторов на обеих машинах), все это работает.
Я нашел причину, и это не кто иной, как наш дорогой друг UAC.
Я наткнулся на это экспериментом, напомнив, что (в зависимости от настроек) UAC подскажет членам группы администраторов повышение привилегий, в то время как встроенный администратор получит автоматическое повышение привилегий без подсказок. Это заставило меня задуматься, не было ли это проблемой с подсказками для удаленного пользователя.
Я обнаружил, что с отключенной UAC все начало работать, как и ожидалось.
К сожалению, похоже, что нет никаких настроек, позволяющих этим вещам работать с включенной UAC. Я перепробовал все параметры политики, связанные с UAC (такие как "elevate administrators without prompting") на тот случай, если они могут решить мою проблему в качестве побочного эффекта, но не нашел там радости.
Я только что загрузил сервер 2008R2, чтобы удвоить...Проверьте, что я говорил в вопросе о более ранних версиях, и это действительно тот случай, когда с включенной UAC разрешен доступ с того же самого пользователя на WorkstationA.
Так что, похоже, такое поведение изменилось в 2012 году или в результате обновления.
Так что у меня есть ответ, но пока нет решения. Я не собираюсь отмечать этот ответ как принятый.
Необходимо проверить, в какие группы входит администратор пользователя. У меня возникла проблема с нашими серверами, и хотя во время игры с ней не было домена, именно группа администратора домена и была причиной проблемы... Мне пришлось добавить пользователя в группу администратора домена, прежде чем я смог использовать удаленные команды.
Так что просто проверьте группы безопасности :) Думаю, ваша проблема где-то здесь :D
Надеюсь, это поможет
.Чтобы отключить удаленные ограничения UAC, выполните следующие действия: Нажмите кнопку Пуск, выберите команду Выполнить, введите regedit и нажмите клавишу ВВОД. Найдите и щелкните следующий подраздел реестра: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System Если запись реестра LocalAccountTokenFilterPolicy не существует, выполните следующие действия: В меню Правка наведите указатель на Создать, а затем щелкните Значение DWORD. Введите LocalAccountTokenFilterPolicy и нажмите клавишу ВВОД. Щелкните правой кнопкой мыши LocalAccountTokenFilterPolicy и выберите команду Изменить. В поле «Значение» введите 1 и нажмите кнопку «ОК». Закройте редактор реестра.