网络用户/域- 发生系统错误 5。访问被拒绝

网络用户/域- 发生系统错误 5。访问被拒绝

我遇到的问题是

发生系统错误 5。访问被拒绝。

当我尝试运行命令时出错

net user /domain <username>

使用常规域用户帐户(不是域管理员或本地管理员)。

我们需要以非管理员身份运行此命令,使用脚本为非管理员用户加载特定工作负载。在具有完全相同策略和相同域设置的其他服务器系统上,我能够以非管理员用户身份运行此命令。我甚至从没有出现错误的项目中导出了策略并导入了它们,但不幸的是没有成功...

互联网研究表明,GP 设置“网络访问。限制允许对 SAM 进行远程调用的客户端”可能是解决方案。

我添加了应该能够发出网络用户请求的组,更新了服务器上的策略,该组显示为“允许”。不幸的是,这个解决方案对我来说也不起作用,我仍然遇到完全相同的错误:

发生系统错误 5。访问被拒绝。

出现该问题的项目与正常运行的项目唯一的区别是 Windows 版本:

  • 运行的项目有:Windows W2019 1809/17763.1935
  • 有问题的项目:Windows 2019 1809 / 17763.1790

你能帮我找到这个问题的解决方案吗?
这样我就可以让项目上线了。

答案1

我找到了解决这个问题的方法。 问题直接出在域控制器的注册表上。有两种方法可以解决它。

解决方案 1:创建一个策略,允许指定组或用户发出 SAM 请求,并将其链接到顶层的整个域 OU。这样所有 OU 的所有计算机和用户都可以获得它。

以下是此策略设置的说明:

计算机配置>>Windows 设置>>安全设置>>本地策略>>安全选项>>“网络访问:限制允许对 SAM 进行远程调用的客户端”。

选择“编辑安全”来配置“安全描述符:”。

在“组或用户名:”中添加所需的用户或组

在“管理员的权限”中,对“远程访问”选择“允许”。

单击“确定”。

在所有域计算机上执行 CMD:gpupdate /force,然后重新启动它们。

解决方案 2:删除 SAM 请求的现有策略或本地注册表设置

  1. 找到指定 SAM 请求的策略(如果已经存在)并编辑(允许所需的组或用户)或完全删除它。
  2. 打开 regedit.exe全部域控制器并删除注册表项:

注册表配置单元:HKEY_LOCAL_MACHINE 注册表路径:\SYSTEM\CurrentControlSet\Control\Lsa\

值名称:RestrictRemoteSAM

值类型:REG_SZ 值:O:BAG:BAD:(A;;RC;;;BA)

  1. 重新启动其中一个域控制器并检查注册表项是否仍然存在。通常,它应该被完全删除,并且在重新启动后不会出现。

信息:此注册表项限制所有普通用户发出“net user /domain”请求。

  1. 以普通用户身份尝试“net user /domain”请求(如果需要,请执行“gpupdate /force”并重新启动运行该请求的计算机)

BR,雅罗斯拉夫·克劳斯

相关内容