在某些情况下,“Guest”用户似乎无需 Windows Server 2003 上“Everyone”内置组的成员身份即可登录。我想更详细地了解为什么以及何时会出现这种情况。
背景:在已配置为访客访问的 Server 2003 计算机上设置了打印机队列。打印机队列具有 Everyone:Print ACE。一般来说,访客访问似乎可以正常工作,并且用户(任何用户)都可以通过队列进行打印。
定期(通常仅在有限的时间内)以访客身份连接到队列的用户会收到“访问被拒绝”错误。已为特定打印队列启用了审核。安全日志显示用户登录成功(网络跟踪显示成功连接到 IPC$),但随后的打印机访问被记录为“审核失败”:
Object Open:
Object Server: Spooler
Object Type: Printer
Object Name: MultiCa_Print
Handle ID: 10201568
Operation ID: -
Process ID: -
Image File Name: 928
Primary User Name: C:\WINDOWS\system32\spoolsv.exe
Primary Domain: SERVER1$
Primary Logon ID: DRUCKABRECHNUNG
Client User Name: (0x0,0x3E7)
Client Domain: Gast
Client Logon ID: SERVER1
Accesses: (0x1,0x6E468485)
Privileges: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Full Control
Print
Restricted Sid Count: -
Access Mask: 0
域中的成员身份成员身份仍然有点神秘,打印服务器和 DC 之间的所有通信都在来回进行,这似乎是永无止境的串行 NetrLogonSamLogon 请求和响应循环(请求 -> 110 毫秒 -> 响应 -> 请求 -> 110 毫秒 -> 响应)DRUCKABRECHNUNG
(显然曾经是 Samba NT4 样式的域)似乎已失效,因为无法解析 DC 列表的域名,尽管我需要对此进行更多研究才能做出明确的陈述。域中的
我强烈怀疑域成员身份至少是一个触发因素,即使不是原因。我感兴趣的是,鉴于以下事实,为什么打印机队列的授权会被拒绝的合理解释
- a) 身份验证似乎按预期进行,并且
- b) “所有人”组应该始终涵盖所有人,包括客人。
答案1
不久前,我们遇到了类似的问题(有人被拒绝访问Everyone
有权访问的打印队列),并打开了 Microsoft 支持案例,我们 [最终] 最终这是由于该Everyone
组未包含Anonymous
在 Server 2003 和 XP 中。
我忘记了在我们的特定情况下究竟是什么样的故障导致我们的某些用户有时无法得到正确的身份验证,但无论是什么原因,身份验证在某个地方中断,导致用户被视为未经身份验证的用户(Anonymous
),并因此被拒绝访问。
事实上,您那里有一个已停用的域,大概无法对用户进行身份验证,这让我认为您也遇到了同样的事情。他们无法进行身份验证,因此他们被视为未经身份验证的用户 ( Anonymous
),并因此被拒绝访问。