我有一个由本地 Windows 服务实例化的 COM 应用程序,我想通过它来访问网络共享。为了实现这一点,我简单地尝试将我的 COM 服务器配置为以具有该共享访问权限的域用户身份运行:我转到“dcomcnfg”控制台,在 Console Root\Component Services\DCOM Config 下找到我的服务器,右键单击“属性”,转到“身份”选项卡,并为“此用户”选项指定域用户。当我在自己的公司网络上执行此操作时,它运行良好。但是,当用户在其网络上尝试此操作时,他们会得到:
“目录错误
处理远程计算机“DOMAIN”上的最后一个操作时发生错误。错误代码 80070569 - 登录失败:用户未被授予此计算机所请求的登录类型。
其中“DOMAIN”是客户域的名称。域用户位于本地 PC 上的“管理员”组中,并且应该拥有所有必要的登录权限。我推测这是他们的域策略的问题,但网络管理不是我的专业领域。有人知道域用户需要什么域权限才能使此操作正常工作吗?谢谢。
答案1
首先,让我们说明一下 Active Directory 中的每个安全主体都有很多不同的登录类型:交互式、网络、批处理、服务等等
可以通过组策略允许或拒绝几乎所有类型的登录。具体设置可在此处找到:配置>Windows 设置>安全设置>本地策略>安全选项
为了验证 GP 是否确实导致了你的问题,我建议运行此控制台命令
gpresult /h filename.html
有了这些数据,您可能应该联系该域管理员并寻求他们的帮助,因为无法用本地管理访问权限覆盖域 GP。至少不能持续覆盖。
作为一种解决方法,您可以尝试恢复使用本地系统帐户作为应用程序的安全上下文。它实际上可以访问域中的网络共享,但通过计算机 AD 帐户(域\计算机名称$)进行访问,因此必须为网络共享上的 AD 计算机对象授予适当的权限。