我有一项服务需要与多台服务器建立 SMB 连接。加入域的计算机使用具有访问权限的域帐户没有问题。但是,我需要它连接到一些未加入的服务器。
- 该服务需要对 Admin$ 共享具有管理员权限。
- 内置管理员帐户已被禁用。
- 我已经创建了本地管理员用户名和密码。
- Windows 防火墙已关闭。
- 服务器位于同一子网,之间没有防火墙。
最初,NTLM 设置为“全部拒绝”,但我始终无法连接。当我将设置“降低”为“全部拒绝”时,我终于能够连接到测试服务器。但是,当我对生产服务器进行同样的更改时,却无法连接。
花了一段时间,我才意识到我在测试系统上使用的是内置管理员帐户。我们在所有生产服务器上禁用此内置帐户,并创建一个新帐户并将其添加到本地管理员组。
如果启用,我可以使用内置管理员帐户进行连接。
C:\Windows\system32>net use \\Server\Admin$ /USER:Administrator P@$$w0rd1
The command completed successfully.
但是,使用本地管理员组的任何其他成员,我都无法连接。
C:\Windows\system32>net use \\Server\Admin$ /USER:NewAdmin NewP@$$wd
System error 5 has occurred.
Access is denied
任何指导都值得赞赏。
答案1
To allow administrative share access in a workgroup for Windows, use the following workaround.
1. Click Start, type regedit in the Start Search box, and then press Enter.
2. Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
3. On the Edit menu, point to New, and then click DWORD (32-bit) Value.
4. Type LocalAccountTokenFilterPolicy to name the new entry, and then press Enter.
5. Right-click LocalAccountTokenFilterPolicy, and then click Modify.
6. In the Value data box, type 1, and then click OK.
7. Exit Registry Editor.