问题是关于带开关shutdown的命令/m \\MACHINE,它可用于远程关闭(重启、休眠等)Windows 计算机。就我而言,我正在处理 Windows 7 和 Windows 8 计算机之间的本地家庭网络。所有计算机上的家庭组均已禁用,并且通过在所有计算机上创建带有密码的用户帐户以“传统”方式管理网络。
我读到过一篇文章,说为了远程执行该命令,发出命令的账户也应该在远程接收方机器上注册为Administrators组成员。为了测试命令的这种行为,shutdown我在本地(发出命令的)Windows 7 Pro 机器上设置了两个名为Test和的用户账户Mike。这两个账户都属于常规Users组。
我还访问了远程(接收方)Windows 8 Pro 机器FILES,并在那里创建了一个名为组Mike成员的帐户Users。
Test现在,我以本地计算机身份登录并发出
shutdown /m \\FILES /r /f /t 0
命令提示符。我立即收到“拒绝访问”响应。这是预期的行为。到目前为止一切顺利。
然后我以 身份登录Mike到本地计算机并发出相同的命令。令我惊讶的是,远程计算机立即重新启动。发生了什么?
我进入远程计算机并打开其本地安全策略设置。在其User Policies组中,我发现了以下策略:
Force shutdown from a remote system = Administrators
Shut down the system = Administrators, Users
我删除了Users后一项政策,只留下了Administrators那里。
我重启了远程机器,再次Mike以本地机器身份登录并发出相同的命令。远程机器再次顺从地重启。
这里有趣的细节是,当本地Mike登录到FILES计算机时,他无法重新启动它,因为Shut down the system策略设置为Administrators,而Mike仅仅是User。但是同样的Mike可以成功FILES远程重启。
那么,这是怎么回事?我怎么能使用级别帐户重新启动远程计算机User?此外,恰当命名的策略Force shutdown from a remote system设置Administrators似乎表明常规User帐户不应该能够做到这一点。但它重新启动了。
我在这里遗漏了什么?是什么让远程重启命令溜走了?我应该阻止什么以及在哪里防止Mike能够FILES远程重启机器?
进一步调查显示,事件日志中有以下条目FILES
The process wininit.exe (192.168.1.2) has initiated the restart of computer FILES
on behalf of user FILES\Administrator for the following reason: No title for this
reason could be found
Reason Code: 0x800000ff
Shutdown Type: restart
Comment:
此类条目对应于 收到的每个远程重启命令FILES。192.168.1.2在本例中是发出命令的计算机的 IP 地址shutdown。因此,正如 @misha256 正确指出的那样,该命令实际上是在远程计算机上执行的,就好像它是由 发出的一样Administrator。这就是当前政策不阻止它的原因。
现在的问题是,它是从哪里成功提升Mike到Administrator:在本地机器还是在远程机器?当然,还有它是如何以及为何发生的......
答案1
我找到罪魁祸首了。
很久以前,一个用户Mike(已经存在一段时间了)想要连接到远程FILES计算机上的某个管理共享,例如\\FILES\C$。为了实现该用户以 的身份Mike连接到,请输入远程密码并要求 WindowsFILESAdministratorAdministrator保存他的凭证。凭证已保存。它们始终在控制面板的Credential Manager下的小程序中可见Windows Credentials。
显然,shutdown当命令从远程计算机收到“拒绝访问”响应时,它会利用这些存储的凭据(或者,它可能立即无条件地利用这些存储的凭据)。这就是Mike能够提升自身FILES\Administrator级别并成功重新启动远程计算机的方式。
一旦我从中删除存储的凭据Credential Manager,Mike就会立即开始收到来自的预期“拒绝访问”响应shutdown。
答案2
如果目标机器上的登录有效,则无论帐户类型是管理员还是用户,它都应该有效,因为标准用户确实有权关闭或重新启动工作站。只有通过安全策略撤销权限时才会例外。