Active Directory:以 WinXP SYSTEM 用户身份访问网络共享

tag-icon tag-icon windows-server-2003 active-directory permissions windows-xp network-share
Active Directory:以 WinXP SYSTEM 用户身份访问网络共享

问题:

我无法Domain Computers通过以帐户身份在 Windows XP 上运行的进程访问可访问的网络共享SYSTEM

我有一个 2008R2 域、一个 2003R2 文件服务器和一组客户端。

在文件服务器上,我创建了一个可供Domain Computers组访问的共享。该共享用于保存文件的只读存储库 (工作量) 可通过系统服务从域工作站访问 (通用动力) 由用户运行SYSTEM

现在的问题是,虽然它在 Windows 7 上运行良好,在 Windows XP 上完全失败。似乎由于某种原因,SYSTEMWindows XP 上的帐户无法验证为计算机。查看更多详细信息。

问题:

我做错了什么?

这也许是 Windows XP 系统的自然行为吗?如果是,可以更改或修复吗?或者有没有其他方法可以实现这样一种场景,即用户SYSTEM在计算机上可以看到网络共享,但用户无法访问?

细节:

  • Domain Computers群组已获得权限对于文件和共享
  • 我已经检查了更高的权限,从ReadFull Controll
  • 我已经使用 VBox 上安装的全新操作系统测试了该问题

由于问题是由应用程序报告的,因此我首先开始验证实际的SYSTEM用户权限。在两个 Windows 版本(7 和 XP)上,我都打开了一个提升的cmd会话模拟SYSTEM帐户(使用PsExec -s -i cmd.exe),并尝试手动挂载网络共享:

net use x: \\myfs.mydomain.com\Wpkg

在 Windows 7 上,驱动器已毫无异议地安装。但在 Windows XP 上,命令响应了有关密码错误的信息并提示输入新密码:

[Windows XP]
Password for \\myfs.mydomain.com\Wpkg is incorrect.

Please enter password for "myfs.mydomain.com": _

(请注意,这只是翻译,官方英语语言环境可能听起来有所不同)

答案1

在正常的、普通的环境中,您的操作将有效。我无法复制您所看到的内容。我创建了一个共享 (\\server\share),授予域计算机读取访问权限,并删除了所有其他 ACE。在 下运行psexec -s -i -d cmd,我能够从 XP 和 Win7 计算机访问共享。

您有多确定 XP 计算机是域计算机的成员?默认情况下,所有新计算机帐户都是域计算机的成员,但不是通过member(或memberOf) 属性,而是作为对象的主组。域计算机组的知名 RID 是 515。该 RID 值标记在计算机对象的 primaryGroupID 属性上。

您能否查看计算机对象的 primaryGroupID 和 memberOf 属性,并告诉我是否存在这些属性?如果您愿意,您可以发布 XP 和 Win7 计算机的完整输出吗?无论哪种方式,获取信息的简单方法是使用以下命令:dsquery * -filter "name=COMPUTER_NAME_GOES_HERE" -attr *

还可以尝试更改共享/NTFS 上的 ACL,一次一个,以允许、、Everyone和计算机名称本身。尝试每一个,看看哪个(如果有的话)有效。Authenticated UsersDomain Users

答案2

固定的!

问题的根源是文件服务器未将自身注册到 DC DNS。这显然是有人故意为之——相应的网络接口选项已被手动取消选中:

(network interface) 
  -> Properties 
    -> TCP/IP Protocol 
      -> Advanced 
        -> DNS 
          -> [ ] Register this connection's address in DNS

检查上述选项并发出后ipconfig /registerdns

  • 文件服务器在 DC DNS 记录中正确注册
  • Windows XPSYSTEM用户开始正确挂载有问题的共享,而无需输入凭据

Windows XP 和 Windows 7 的不同行为一定是由于内部实现上的一些差异造成的;我猜是 Kerberos,尽管我对 Kerberos 的了解还很肤浅。

CNAME我发现很有趣的是,当我尝试从 ie.wpkg.domain.mydomain.com到添加记录时,发生了非常类似的事情filesystem.domain.mydomain.com

在 Windows XP 中,只有最终的主机名有效:

C:\WINDOWS\system32>dir \\wpkg[.domain.mydomain.com]\wpkg
Access denied.

C:\WINDOWS\system32>dir \\fileserver[.domain.mydomain.com]\wpkg
[...result OK... ]

...而在 Windows 7 上,使用 CNAME 没有任何问题:

C:\WINDOWS\system32>dir \\wpkg[.domain.mydomain.com]\wpkg
[...result OK... ]

C:\WINDOWS\system32>dir \\fileserver[.domain.mydomain.com]\wpkg
[...result OK... ]

请注意,这里我收到一个Access denied错误,而不是密码提示。

相关内容