Permissões necessárias para manipular os Serviços do Windows remotamente em outro computador vinculado ao grupo de trabalho

Question

Permissões necessárias para manipular os Serviços do Windows remotamente em outro computador vinculado ao grupo de trabalho

#1 resposta do (4 votos)
#2 resposta do (0 votos)

3

Eu sei que há muitas perguntas semelhantes a isso, mas todas usam a seguinte sintaxe para se conectar:

runas /netonly /user:[Domain]\[Account on Domain with Administrator access] 
[Program]

Eu preciso iniciar / parar serviços remotamente de outro computador vinculado ao grupo de trabalho. Meu problema é que meu computador não está vinculado por meio de uma estrutura domain que a sintaxe parece implicar. Usar isso abre o programa (digamos cmd), mas a execução de sc \[Domain\Machine] query na instância aberta de cmd.exe não funciona dando o erro Acesso negado .

Outra alternativa que encontrei em outro lugar no StackOverflow é

net use \[Machine IP/Host name]\IPC$ user:[Account on Machine with 
Administrator Access] [Password]
sc \[Machine] [Command]

No segundo caso, a primeira linha funciona se eu inserir as credenciais da conta corretamente desde que a mesma conta não seja usada por mais ninguém na máquina remota ...

Mas a segunda linha falha ao fornecer o mesmo erro de acesso negado que anteriormente. Estou no fim da minha sagacidade para resolver este problema.

Engraçadamente, a situação exata parece não ser abordada em todos os outros lugares da Internet, e ninguém reclamou da exigência de credenciais para impedi-los de usar sc ou net start , por exemplo, remotamente. Quase todas as perguntas sobre SO estão relacionadas à sintaxe exata.

O único problema que posso identificar é se meu computador está conectado em uma estrutura Grupo de trabalho em oposição ao Domínio . Qual é o problema real?

EDIT : Um ponto importante a notar é que quando digo sc \ [Machine] start [Service] e dou o nome de um serviço inexistente na sintaxe, a mensagem de erro é algo como serviço não existe como serviço instalado , mas se eu digitar o nome de um serviço válido, o erro é Acesso negado ..

EDIT 2 : Funcionou depois de desabilitar completamente o controle de acesso do usuário. Presumo que não seja a maneira mais segura de fazer isso. Existe alguma alternativa com o UAC ativado?

EDIT 3 : Eu acho que isso tem a ver com a obtenção de privilégios administrativos na máquina remota usando o cmd. Como posso conseguir isso dentro da linha de comando?

permissions networking windows remote-desktop

por hrshi1990 07.08.2014 / 06:53

2 respostas

0

Com grupos de trabalho, você está solicitando informações do computador que está manipulando a função "navegador". Isso não é atualizado em tempo real e, portanto, pode ser um sucesso e um fracasso. Se você estiver usando o mesmo nome de usuário e senha localmente como o computador que você está administrando, você deve estar bem, pois o pedido é tratado sem o navegador.

por 11.08.2014 / 08:15

Tags permissions networking windows remote-desktop

No Excel, como contar um número enorme de registros de data e hora e organizar contagens em períodos de 5 minutos classificados por dia da semana? No bash, declare um alias que depende do conteúdo da variável atual

score 4 · Accepted Answer

OK, encontrei o problema. Aparentemente, pelo menos no Windows 8, 8.1 e no Windows Server 2008, o UAC restringe os privilégios administrativos que exigem alterações em administradores locais por padrão .

A única razão que posso imaginar para isso é que, se um usuário conectado à máquina remota conectada ao grupo de trabalho tiver credenciais idênticas (ID e senha) como o do computador doméstico, o usuário remoto seria qualificado para fazer alterações na linha de comando com privilégios administrativos, apesar de provavelmente não ser a intenção do cara controlando o computador doméstico.

Então, isso provavelmente significa, por motivos de segurança, que um filtro adicional foi introduzido para restringir tais atividades apenas ao administrador local.

É dado aqui ... link

i.e. configuração

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\
LocalAccountTokenFilterPolicy] = 1

no registro provavelmente resolverá o problema após a reinicialização do computador. Como esse é um problema tão comum, pelo menos entre os computadores vinculados ao grupo de trabalho, não tenho ideia de por que essa solução não é mais acessível na rede.