来宾用户可能会失去“所有人”会员资格吗?

来宾用户可能会失去“所有人”会员资格吗?

在某些情况下,“Guest”用户似乎无需 Windows Server 2003 上“Everyone”内置组的成员身份即可登录。我想更详细地了解为什么以及何时会出现这种情况。

背景:在已配置为访客访问的 Server 2003 计算机上设置了打印机队列。打印机队列具有 Everyone:Print ACE。一般来说,访客访问似乎可以正常工作,并且用户(任何用户)都可以通过队列进行打印。

定期(通常仅在有限的时间内)以访客身份连接到队列的用户会收到“访问被拒绝”错误。已为特定打印队列启用了审核。安全日志显示用户登录成功(网络跟踪显示成功连接到 IPC$),但随后的打印机访问被记录为“审核失败”:

Object Open:
    Object Server:  Spooler
    Object Type:    Printer
    Object Name:    MultiCa_Print
    Handle ID:  10201568
    Operation ID:   -
    Process ID: -
    Image File Name:    928
    Primary User Name:  C:\WINDOWS\system32\spoolsv.exe
    Primary Domain: SERVER1$
    Primary Logon ID:   DRUCKABRECHNUNG
    Client User Name:   (0x0,0x3E7)
    Client Domain:  Gast
    Client Logon ID:    SERVER1
    Accesses:   (0x1,0x6E468485)
    Privileges: DELETE
            READ_CONTROL
            WRITE_DAC
            WRITE_OWNER
            Full Control
            Print

    Restricted Sid Count:   -
    Access Mask:    0

域中的成员身份DRUCKABRECHNUNG(显然曾经是 Samba NT4 样式的域)似乎已失效,因为无法解析 DC 列表的域名,尽管我需要对此进行更多研究才能做出明确的陈述。域中的成员身份仍然有点神秘,打印服务器和 DC 之间的所有通信都在来回进行,这似乎是永无止境的串行 NetrLogonSamLogon 请求和响应循环(请求 -> 110 毫秒 -> 响应 -> 请求 -> 110 毫秒 -> 响应)

我强烈怀疑域成员身份至少是一个触发因素,即使不是原因。我感兴趣的是,鉴于以下事实,为什么打印机队列的授权会被拒绝的合理解释

  • a) 身份验证似乎按预期进行,并且
  • b) “所有人”组应该始终涵盖所有人,包括客人。

答案1

不久前,我们遇到了类似的问题(有人被拒绝访问Everyone有权访问的打印队列),并打开了 Microsoft 支持案例,我们 [最终] 最终这是由于该Everyone组未包含Anonymous在 Server 2003 和 XP 中

我忘记了在我们的特定情况下究竟是什么样的故障导致我们的某些用户有时无法得到正确的身份验证,但无论是什么原因,身份验证在某个地方中断,导致用户被视为未经身份验证的用户(Anonymous),并因此被拒绝访问。

事实上,您那里有一个已停用的域,大概无法对用户进行身份验证,这让我认为您也遇到了同样的事情。他们无法进行身份验证,因此他们被视为未经身份验证的用户 ( Anonymous),并因此被拒绝访问。

相关内容