我正在尝试弄清楚如何允许一组用户msra /offerra向其域内的其他成员提供未经请求的远程协助。
我创建了一项启用“提供远程协助”的策略,并将DOMAIN\RAHelpers用户组填入“帮助者”列表。DOMAIN\RAHelpers应用该策略后,我可以看到该组作为成员出现在目标域计算机的本地“提供远程协助帮助者”组中。但是,我无法与其中一个用户建立远程协助连接除非他们也是当地管理员待协助机器的组。错误消息相当不具体(“无法发送您的帮助请求”),但我怀疑是 DCOM 权限问题,因为 RA 似乎使用 DCOM,并且本地管理员可以正常连接以寻求帮助。
我需要哪些最低权限集才能允许未经请求的远程协助?我显然不想将所有帮助者提升为本地管理员。
答案1
事实证明,这就像将用户添加到“分布式 COM 用户”本地組織。
“启用远程协助”策略不会改变该组的成员身份,并且未经请求的远程协助似乎依赖于 DCOM 远程激活。
答案2
在我们的案例中,RA 无法正常工作的问题是由于加密不匹配造成的。
域控制器使用 RC4,而 Windows 10 客户端使用 AES128/256/future。
2.3.11.4 (L1) Ensure 'Network security: Configure encryption types allowed for Kerberos' is set to 'AES128_HMAC_SHA1, AES256_HMAC_SHA1, Future encryption types'