Windows 远程管理 (schtascks、eventvwr、默认 SMB 共享)“拒绝访问”

Windows 远程管理 (schtascks、eventvwr、默认 SMB 共享)“拒绝访问”

我有一个域,其中有几个 DC(Win 2k8 R2)和大约 15 个工作站(Win7,x64)。

当尝试(远程)访问特定的 Win 7 工作站(实际上与其他工作站没有什么不同)时,大多数远程管理任务都会出现“拒绝访问”的情况,例如当尝试使用 MMC 打开计划任务、服务(这需要一些特殊的注册表项,我通过 GPO 分发)、事件或使用资源管理器浏览默认的 SMB 共享(美元共享)等时。

相应的命令行工具也会失败,例如:

C:\development\ecd-vr>schtasks /run /tn EveNightly /s dionysus
ERROR: Access denied

(嗯,实际上最后一行是从德语翻译过来的:-)

显然,我正尝试以登录的域管理员身份执行此操作 - 同样的操作(使用相同的管理员用户)在任何其他机器上都可以正常工作。

什么工作:

  • 远程桌面(因此它只是很烦人 - 并不重要)...我猜这可能与以下事实有关:在这种情况下,我的本地 Kerberos 票证没有用于任何事情......
  • 非默认(即用户创建的“非美元”)SMB 股票 - 这很有趣,这些美元股票一定有一些特别之处……

以防有人感到疑惑——股票本身就在那里:

C:\development\ecd-vr>net share

Name         Ressource                       Description

-------------------------------------------------------------------------------
IPC$                                         Remote IPC
C$           C:\                             Default share
D$           D:\                             Default share
ADMIN$       C:\Windows                      Remote Admin
C            C:\

(再次从德语翻译而来)

ACL 看起来也不错:

C:\Users\fnawothnig>icacls c:\
c:\ BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Users:(OI)(CI)(RX)
    NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
    NT AUTHORITY\Authenticated Users:(AD)
    Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)

(再次翻译)

“whoami /groups” 的输出没有产生任何异常,这并不奇怪,因为本地一切正常。

默认 SMB 共享(即 \machine\c$)会产生一个密码对话框,输入我的凭据后,该对话框再次出现(“拒绝访问”的正常行为)。但安全日志显示身份验证成功。

不确定从这里开始该怎么做 - 如果有任何想法我将不胜感激...

答案1

您没有说,但我假设您使用域管理员帐户来执行这些任务。

听起来像是流氓用户(具有本地管理员权限)从本地管理员组中删除了域管理员组。有一些注册表黑客也可以实现您描述的相同结果。此工作站的主要用户是“高级用户”吗?他们有本地管理员权限吗?他们看起来像是会入侵自己工作站的用户吗?

相关内容