与非域服务器的 SMB 连接

与非域服务器的 SMB 连接

我有一项服务需要与多台服务器建立 SMB 连接。加入域的计算机使用具有访问权限的域帐户没有问题。但是,我需要它连接到一些未加入的服务器。

  • 该服务需要对 Admin$ 共享具有管理员权限。
  • 内置管理员帐户已被禁用。
  • 我已经创建了本地管理员用户名和密码。
  • Windows 防火墙已关闭。
  • 服务器位于同一子网,之间没有防火墙。

最初,NTLM 设置为“全部拒绝”,但我始终无法连接。当我将设置“降低”为“全部拒绝”时,我终于能够连接到测试服务器。但是,当我对生产服务器进行同样的更改时,却无法连接。

花了一段时间,我才意识到我在测试系统上使用的是内置管理员帐户。我们在所有生产服务器上禁用此内置帐户,并创建一个新帐户并将其添加到本地管理员组。

如果启用,我可以使用内置管理员帐户进行连接。

C:\Windows\system32>net use \\Server\Admin$ /USER:Administrator P@$$w0rd1
The command completed successfully.

但是,使用本地管理员组的任何其他成员,我都无法连接。

C:\Windows\system32>net use \\Server\Admin$ /USER:NewAdmin NewP@$$wd
System error 5 has occurred.
    
Access is denied

任何指导都值得赞赏。

答案1

https://docs.microsoft.com/en-us/troubleshoot/windows-client/networking/cannot-logon-access-administrative-share

To allow administrative share access in a workgroup for Windows, use the following workaround.

1. Click Start, type regedit in the Start Search box, and then press Enter.
2. Locate and then click the following registry subkey:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
3. On the Edit menu, point to New, and then click DWORD (32-bit) Value.
4. Type LocalAccountTokenFilterPolicy to name the new entry, and then press Enter.
5. Right-click LocalAccountTokenFilterPolicy, and then click Modify.
6. In the Value data box, type 1, and then click OK.
7. Exit Registry Editor.

另请参阅此处:https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/user-account-control-and-remote-restriction

相关内容