我遇到的问题是
发生系统错误 5。访问被拒绝。
当我尝试运行命令时出错
net user /domain <username>
使用常规域用户帐户(不是域管理员或本地管理员)。
我们需要以非管理员身份运行此命令,使用脚本为非管理员用户加载特定工作负载。在具有完全相同策略和相同域设置的其他服务器系统上,我能够以非管理员用户身份运行此命令。我甚至从没有出现错误的项目中导出了策略并导入了它们,但不幸的是没有成功...
互联网研究表明,GP 设置“网络访问。限制允许对 SAM 进行远程调用的客户端”可能是解决方案。
我添加了应该能够发出网络用户请求的组,更新了服务器上的策略,该组显示为“允许”。不幸的是,这个解决方案对我来说也不起作用,我仍然遇到完全相同的错误:
发生系统错误 5。访问被拒绝。
出现该问题的项目与正常运行的项目唯一的区别是 Windows 版本:
- 运行的项目有:Windows W2019 1809/17763.1935
- 有问题的项目:Windows 2019 1809 / 17763.1790
你能帮我找到这个问题的解决方案吗?
这样我就可以让项目上线了。
答案1
我找到了解决这个问题的方法。 问题直接出在域控制器的注册表上。有两种方法可以解决它。
解决方案 1:创建一个策略,允许指定组或用户发出 SAM 请求,并将其链接到顶层的整个域 OU。这样所有 OU 的所有计算机和用户都可以获得它。
以下是此策略设置的说明:
计算机配置>>Windows 设置>>安全设置>>本地策略>>安全选项>>“网络访问:限制允许对 SAM 进行远程调用的客户端”。
选择“编辑安全”来配置“安全描述符:”。
在“组或用户名:”中添加所需的用户或组
在“管理员的权限”中,对“远程访问”选择“允许”。
单击“确定”。
在所有域计算机上执行 CMD:gpupdate /force,然后重新启动它们。
解决方案 2:删除 SAM 请求的现有策略或本地注册表设置
- 找到指定 SAM 请求的策略(如果已经存在)并编辑(允许所需的组或用户)或完全删除它。
- 打开 regedit.exe全部域控制器并删除注册表项:
注册表配置单元:HKEY_LOCAL_MACHINE 注册表路径:\SYSTEM\CurrentControlSet\Control\Lsa\
值名称:RestrictRemoteSAM
值类型:REG_SZ 值:O:BAG:BAD:(A;;RC;;;BA)
- 重新启动其中一个域控制器并检查注册表项是否仍然存在。通常,它应该被完全删除,并且在重新启动后不会出现。
信息:此注册表项限制所有普通用户发出“net user /domain”请求。
- 以普通用户身份尝试“net user /domain”请求(如果需要,请执行“gpupdate /force”并重新启动运行该请求的计算机)
BR,雅罗斯拉夫·克劳斯