无法访问独立的 Win8.1 工作站共享

无法访问独立的 Win8.1 工作站共享

我在域网络上设置了 2 个 Windows8.1 Enterprise 工作站,其中一个已加入域,另一个尚未加入(独立)。我需要从另一个加入域的工作站浏览工作站的 C: 驱动器:\\ComputerName\ShareName

两个工作站都共享了 C:\,并且(本地)管理员对该共享拥有完全控制权限。两个工作站都是全新安装的,我还没有触及文件系统权限。

加入域的工作站我可以像我预期的那样浏览 C: 驱动器(Windows 资源管理器)(使用域管理员帐户),但独立工作站不允许我浏览其 C: 盘文件。当我尝试探索 \\StandAlone\CShare 时,系统提示我输入凭据(正如我所料),我输入了本地管理员帐户的用户名和密码,但收到消息:网络错误 Windows 无法访问 \\StandAlone\CShare 您无权访问 \\StandAlone\CShare。请联系您的网络管理员以请求访问权限。”(是的,我联系了自己,并请求访问权限,但仍然没有解决)。

我从 Win3.1 时代(1993 年!)就开始连接网络共享。我甚至尝试从命令行映射驱动器,结果返回“命令已成功完成”。它撒谎了。

我非常怀疑 NLA 很愚蠢,事实上,加入的工作站已将“域”配置文件分配给 NIC,而独立工作站已分配“公共”配置文件。(显然,我无法再将配置文件从公共更改为私人?真的吗?!)在独立工作站上,我尝试了“网络和共享中心 > 更改高级共享设置”下的所有可能的组合。我仍然收到相同的错误。

有什么建议么?

- 编辑 - - - - - - - - - - - -

在苦苦寻找解决方案后,我尝试将实际的本地管理员帐户添加到共享权限(不是禁用的帐户“管理员”,而是首次登录时创建的管理帐户,并自动包含在本地“管理员”组中)。令人惊讶的是,我现在可以从另一个工作站浏览文件!

换个问题:是什么样的难以置信的愚蠢逻辑让Win8.1共享权限忽略本地管理员组的成员? 事实上,在加入域的工作站上,本地管理员组包括成员“DomainName\Domain Admins”,它可以正常工作。

为什么在加入域的工作站上正确授予本地组成员权限,但在独立工作站上组成员却被忽略?

答案1

您使用哪个本地管理员凭据?您需要使用域计算机上的用户帐户,而不是独立计算机上的用户帐户。

另外,您是否通过共享本身的权限设置明确授予其本地管理员访问权限(不是 NTFS 权限,而是共享权限)?您也需要这样做。如果您仍然无法访问,您可以发布共享文件夹设置的屏幕截图吗?

答案2

这似乎更像是一种变通方法,而不是答案:在独立的 Win8.1 Enterprise 工作站上,实际的用户帐户需要添加到共享权限,因为 Win8.1 似乎忽略本地管理员组中有哪些成员。

一旦计算机加入域,用户帐户就可以与共享权限中的本地管理员组交换,然后共享权限将像过去 21 年一样工作。

如果这是某种“功能”,我会喜欢理解原因。大约浪费了 6 个小时(客户肯定会非常生气)。

需要向 @c-satola 表示感谢,他陈述了我所发现的内容。如果我能找到这个“新功能”的解释,我会发布后续内容。

- - 跟进 - - - - - - - - - - - - - - - - - -

实际解决方案似乎是:在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy 处创建新的 DWORD 值,并将其设置为 1。

感谢 PPC 的贡献:http://community.spiceworks.com/topic/451675-windows-8-1-differences-in-accessing-default-c-share-and-other-shares

除了 Windows 2003 Server 参考之外,我在 MSDN 中找不到原因: http://msdn.microsoft.com/en-us/library/aa826699%28v=vs.85%29.aspx 如果我不得不猜测,问题是由于 UAC不是当帐户被“远程”使用时(如:从远程工作站),将本地管理员帐户提升为“管理员”。

答案3

编辑: 值得注意的是,原作者指出,在独立/工作组计算机上,C$ 等管理共享是禁用的。因此,下面的斜体字是我的原始答案,而我的更新答案则以常规字体显示。

\\StandAlone\CShare那是一个实际的共享吗?我希望您浏览\\StandAlone\C$然后输入StandAlone\createdadminlevellocalaccount用户名和密码。Windows administrator8 工作站上的本地帐户将被禁用,因此不要尝试使用StandAlone\administrator该帐户访问 C$ 共享或任何其他共享。相反,在该独立工作站上创建一个本地帐户并将其添加到那里的管理员组。然后使用该帐户的凭据通过 C$ 共享(或您决定设置的任何实际共享)远程访问该独立框。

更新:OP,根据您自己的编辑和试验,您是否尝试过在该工作站上禁用简单文件共享?http://answers.vt.edu/kb/entry/2120然后共享一个新的共享以确保共享和 NTFS 权限中包含适当的组/用户。

相关内容