目前,我在一个 EC2 实例(Windows 2008 R2)上配置了 AD/Kerberos,并创建了几个用户。每个用户都具有管理员权限。当我们以非域管理员身份登录时,我可以成功执行 winrm 命令。但是当我以域用户(具有管理员权限)身份登录时,我无法运行 winrm 命令:
C:\Users\domain-username>winrm get winrm/config/service/auth
WSManFault
Message = Access is denied.
Error number: -2147024891 0x80070005
Access is denied.
我检查了 WinRM 的组策略编辑器,没有找到任何相关内容。我不确定我遗漏了什么。
答案1
我首先想到的是:cmd 权限提升了吗?默认情况下,本地管理员帐户会这样,而属于本地管理员组的域帐户则不是这样。您当前的提示 (c:\users...) 有点表明这可能是访问权限问题的原因(默认情况下,提升的 cmd 从 c:\windows\system32 开始)。
我已经测试了升高和非升高的情况,得到的结果与“正常”结果相同,而“升高”的结果也符合预期。
答案2
您必须将用户添加到 WinRM 服务器上的“远程管理用户”组。