我有一个域,其中有几个 DC(Win 2k8 R2)和大约 15 个工作站(Win7,x64)。
当尝试(远程)访问特定的 Win 7 工作站(实际上与其他工作站没有什么不同)时,大多数远程管理任务都会出现“拒绝访问”的情况,例如当尝试使用 MMC 打开计划任务、服务(这需要一些特殊的注册表项,我通过 GPO 分发)、事件或使用资源管理器浏览默认的 SMB 共享(美元共享)等时。
相应的命令行工具也会失败,例如:
C:\development\ecd-vr>schtasks /run /tn EveNightly /s dionysus
ERROR: Access denied
(嗯,实际上最后一行是从德语翻译过来的:-)
显然,我正尝试以登录的域管理员身份执行此操作 - 同样的操作(使用相同的管理员用户)在任何其他机器上都可以正常工作。
什么做工作:
- 远程桌面(因此它只是很烦人 - 并不重要)...我猜这可能与以下事实有关:在这种情况下,我的本地 Kerberos 票证没有用于任何事情......
- 非默认(即用户创建的“非美元”)SMB 股票 - 这很有趣,这些美元股票一定有一些特别之处……
以防有人感到疑惑——股票本身就在那里:
C:\development\ecd-vr>net share
Name Ressource Description
-------------------------------------------------------------------------------
IPC$ Remote IPC
C$ C:\ Default share
D$ D:\ Default share
ADMIN$ C:\Windows Remote Admin
C C:\
(再次从德语翻译而来)
ACL 看起来也不错:
C:\Users\fnawothnig>icacls c:\
c:\ BUILTIN\Administrators:(F)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Users:(OI)(CI)(RX)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
NT AUTHORITY\Authenticated Users:(AD)
Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)
(再次翻译)
“whoami /groups” 的输出没有产生任何异常,这并不奇怪,因为本地一切正常。
默认 SMB 共享(即 \machine\c$)会产生一个密码对话框,输入我的凭据后,该对话框再次出现(“拒绝访问”的正常行为)。但安全日志显示身份验证成功。
不确定从这里开始该怎么做 - 如果有任何想法我将不胜感激...
答案1
您没有说,但我假设您使用域管理员帐户来执行这些任务。
听起来像是流氓用户(具有本地管理员权限)从本地管理员组中删除了域管理员组。有一些注册表黑客也可以实现您描述的相同结果。此工作站的主要用户是“高级用户”吗?他们有本地管理员权限吗?他们看起来像是会入侵自己工作站的用户吗?