为什么 Windows Server 2012 R2 在某些用途上可以通过网络识别本地管理员,但在其他用途​​上却不能?

为什么 Windows Server 2012 R2 在某些用途上可以通过网络识别本地管理员,但在其他用途​​上却不能?

我对此进行了深入研究,但找不到解决我遇到的具体问题的方法。显然,有许多类似的问题经常给试图连接或向 Windows 服务器发出远程命令的人带来麻烦,但我发现的所有解决方案都无法解决这种情况。

场景(不涉及域):

  • UserA 在 WorkstationA(Win7 Ultimate)上有一个工作组帐户。
  • UserA 在 ServerA(2012 R2)上有一个工作组帐户。
  • 用户 A 在两台机器上都属于管理员组。

通过此设置,用户 A 能够远程桌面连接到服务器并执行管理任务。

但是如果 UserA 尝试从 WorkstationA 命令提示符关闭 ServerA,即使是从管理员命令提示符关闭,访问也会被拒绝:

shutdown /m \\ServerA /t 0 /s
ServerA: Access is denied.(5)

类似地,使用 Windows 资源管理器直接访问服务器的文件系统也被拒绝,这会触发用户名/密码对话框。

事情是这样的:

  • 所有这些在 Server 2008 和 2008R2 上都有效
  • 如果 UserA 以名为 Administrator 的用户身份登录到 WorkstationA(而不是两台机器上属于 Administrators 组的 UserA 帐户),则一切正常。

答案1

我找到了原因,它正是我们亲爱的朋友 UAC。

我在实验中偶然发现了这一点,因为我回想起(取决于设置)UAC 将提示管理员组成员提升权限,而内置管理员无需提示即可自动提升权限。这让我怀疑这是否是提示远程用户的问题。

我发现禁用 UAC 后,一切都开始按预期工作。

不幸的是,似乎没有任何设置允许这些功能在启用 UAC 的情况下工作。我尝试了所有与 UAC 相关的策略设置(例如“提升管理员权限而不提示”),希望它们能解决我的问题,但结果并不理想。

我刚刚启动了 2008R2 服务器来仔细检查我在有关早期版本的问题中所说的内容,确实,在启用 UAC 的情况下,它允许 WorkstationA 上的同一个 UserA 进行相关访问。

因此看来这种行为在 2012 年或由于更新而发生了变化。

所以我有一个答案,但还没有解决方案。我不打算将此答案标记为已接受。

答案2

您需要检查用户管理员包含在哪些组中。我的服务器也出现过这个问题,虽然我们在操作时没有域,但是域管理员组是导致问题的原因...我必须先将用户添加到域管理员组,然后才能使用远程命令。

因此,只需检查安全组:)我想你的问题就在那里:D

我希望这有帮助

答案3

尝试启用内置管理员帐户(并重新启动以应用更改):

net user administrator /active:yes

您可以阅读更多相关信息这里

答案4

要禁用 UAC 远程限制,请按照以下步骤操作:单击“开始”,单击“运行”,键入 regedit,然后按 ENTER。找到并单击以下注册表子项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 如果 LocalAccountTokenFilterPolicy 注册表项不存在,请按照以下步骤操作:在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。键入 LocalAccountTokenFilterPolicy,然后按 ENTER。右键单击 LocalAccountTokenFilterPolicy,然后单击“修改”。在“数值数据”框中,键入 1,然后单击“确定”。退出注册表编辑器。

相关内容