Não é possível administrar serviços na máquina remota do Windows devido a um problema de segurança

Question

Não é possível administrar serviços na máquina remota do Windows devido a um problema de segurança

#1 resposta do (5 votos)

7

Eu tenho uma máquina Windows 2008 A com a conta de administrador X. Eu tenho outra máquina Windows 2008 B com a conta de administrador Y.

Ambas as máquinas têm uma conta Z, com o mesmo nome de usuário e senha em ambos.

A conta Z está no grupo Administradores local em ambas as máquinas.

Eles não estão em um domínio.

Da máquina A, como usuário Z (o Administrador é comum a ambas as máquinas) Eu quero iniciar / parar serviços na Máquina B.

(Eu realmente quero fazer isso programaticamente a partir de c #, mas por enquanto, através da linha de comando para provar que funciona, é o meu objetivo.)

Eu tentei algumas coisas (por exemplo, usando runas / user: Z cmd, em seguida, usando o sc.exe), mas encontrei o ~~psservice para ser agradável e flexível, já que posso especificar um nome de usuário e senha na linha de comando. Eu também tentei codificá-lo via WMI.~~

Eu sempre obtenho o mesmo resultado:

Se eu usar o usuário / passe para a conta Y (então o administrador real na máquina B), isso funciona. Se eu usar o usuário / passe para a conta Z (ou personificá-lo localmente), ele falhará com o acesso negado.

Como Z está no grupo Administradores, por que esse é o caso?

Obrigado.

Atualização:

Aqui estão as configurações do meu UAC nas duas máquinas:

windows remote service

por Nik 03.08.2012 / 16:11

1 resposta

5

Muito grato aos comentários de todos, mas eis a resposta:

link

Existe uma configuração de registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy

O que impacta isso.

Se eu definir essa entrada do registro como 1, tudo funcionará como esperado - os usuários do grupo Admin podem acessar remotamente de forma adequada.

Não está claro para mim se isso está além de qualquer configuração de UAC (ou seja, essas configurações de UAC locais nunca afetam o acesso remoto) ou se minha desativação do UAC é de alguma forma inadequada. (Desativei-o usando a interface do usuário do Windows - minhas configurações estão de acordo com a captura de tela da pergunta original).

por 06.08.2012 / 17:52

Tags windows remote service

Não é possível recarregar o supervisor com o comando supervisorctl 'reload' Fuso horário para tarefas agendadas

score 5 · Accepted Answer

Muito grato aos comentários de todos, mas eis a resposta:

link

Existe uma configuração de registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy

O que impacta isso.

Se eu definir essa entrada do registro como 1, tudo funcionará como esperado - os usuários do grupo Admin podem acessar remotamente de forma adequada.

Não está claro para mim se isso está além de qualquer configuração de UAC (ou seja, essas configurações de UAC locais nunca afetam o acesso remoto) ou se minha desativação do UAC é de alguma forma inadequada. (Desativei-o usando a interface do usuário do Windows - minhas configurações estão de acordo com a captura de tela da pergunta original).