Active Directory: Acessando o compartilhamento de rede como usuário do WinXP SYSTEM

Question

Active Directory: Acessando o compartilhamento de rede como usuário do WinXP SYSTEM

#1 resposta do (1 votos)
#2 resposta do (1 votos)

2

O problema:

Não consigo acessar um compartilhamento de rede Domain Computers -acessível por um processo executado no Windows XP como uma conta SYSTEM .

Eu tenho um domínio 2008R2, um servidor de arquivos 2003R2 e um conjunto de clientes.

No servidor de arquivos, disponibilizei uma ação pelo grupo Domain Computers . O compartilhamento deve conter um repositório somente de arquivos ( Wpkg ) para ser acessado a partir de estações de trabalho de domínio por um serviço do sistema (Wpkg-GP ) executado por SYSTEM user.

Agora, o problema é que, enquanto funciona perfeitamente no Windows 7, falha completamente no Windows XP . Parece que, por algum motivo, a conta SYSTEM no Windows XP não pode ser autenticada como um computador. Veja mais em detalhes.

A pergunta:

O que eu faço de errado?

É talvez um comportamento natural do sistema Windows XP? Em caso afirmativo, pode ser alterado ou corrigido? Ou existe alguma outra maneira de alcançar um cenário, no qual um compartilhamento de rede seria visível para o usuário SYSTEM em computadores, sem ser acessível pelos usuários?

Os detalhes:

O grupo Domain Computers recebeu permissões para os arquivos e para o compartilhamento
Eu verifiquei as permissões mais altas, de Read a Full Controll
Eu testei o problema com sistemas operacionais novos e prontos para uso instalados no VBox

Como o problema foi relatado pelo aplicativo, comecei a verificar os direitos de usuário SYSTEM reais. Em ambas as versões do Windows (7 e XP), abri uma sessão cmd elevada representando a conta SYSTEM (usando PsExec -s -i cmd.exe ) e tentei montar manualmente o compartilhamento de rede:

net use x: \myfs.mydomain.com\Wpkg

No Windows 7, a unidade foi montada sem recusa. Mas no Windows XP, o comando respondeu com informações sobre senha incorreta e uma solicitação para uma nova:

[Windows XP]
Password for \myfs.mydomain.com\Wpkg is incorrect.

Please enter password for "myfs.mydomain.com": _

(por favor note que esta é apenas uma tradução, uma localidade inglesa oficial pode soar diferente)

permissions windows-xp active-directory windows-server-2003 network-share

por Michał Sacharewicz 05.04.2013 / 01:38

2 respostas

1

Em um ambiente normal e baunilha, o que você está fazendo vai funcionar. Eu não posso replicar o que você está vendo. Eu criei um compartilhamento (\\ server \ share), concedeu acesso de leitura de computadores do domínio e removeu todos os outros ACE. Executando sob psexec -s -i -d cmd , consigo acessar o compartilhamento dos computadores XP e Win7.

Qual a sua certeza de que o computador XP é membro da Domain Computers? Por padrão, todas as novas contas de computador são membros de Computadores do Domínio não por meio do atributo member (ou memberOf ), mas sim como o Grupo Primário do objeto. O RID conhecido do grupo Computadores do Domínio é 515. Esse valor de RID é marcado no atributo primaryGroupID do objeto de computador.

Você pode dar uma olhada nos atributos primaryGroupID e memberOf do objeto de computador e me informar o que, se houver alguma coisa, está presente? Para esse assunto, se você está confortável, você pode postar a saída completa para um computador XP e Win7? De qualquer forma, uma maneira fácil de obter as informações é com o seguinte comando: dsquery * -filter "name=COMPUTER_NAME_GOES_HERE" -attr * .

Outra coisa a ser tentada seria alterar a ACL no compartilhamento / NTFS, um de cada vez, para permitir Everyone , Authenticated Users , Domain Users e o próprio nome do computador. Experimente cada um e veja qual trabalho, se houver algum.

por 06.04.2013 / 08:03

Tags permissions windows-xp active-directory windows-server-2003 network-share

Servidor Debian travado - find_busiest_group? Criptografia de disco inteiro do Bitlocker na segunda unidade (não inicializável)

score 1 · Accepted Answer

FIXO!

A origem do problema foi o fileserver não se registrando no DNS do DC . Parece que aparentemente foi feito por alguém de propósito - a opção de interface de rede correspondente foi desmarcada manualmente:

(network interface) 
  -> Properties 
    -> TCP/IP Protocol 
      -> Advanced 
        -> DNS 
          -> [ ] Register this connection's address in DNS

Após verificar a opção acima e emitir ipconfig /registerdns :

servidor de arquivos registrado corretamente em registros DNS do DC
O usuário do Windows XP SYSTEM começou a montar corretamente o compartilhamento problemático sem precisar de credenciais

O comportamento diferente do Windows XP e do Windows 7 deve-se a alguma diferença na implementação interna; Eu acho que Kerberos, embora meu conhecimento do Kerberos ainda seja superficial.

Acho interessante o suficiente acrescentar que algo semelhante acontece quando tento adicionar um registro CNAME do IE. wpkg.domain.mydomain.com a filesystem.domain.mydomain.com :

No Windows XP, apenas o nome do host final funciona:

C:\WINDOWS\system32>dir \wpkg[.domain.mydomain.com]\wpkg
Access denied.

C:\WINDOWS\system32>dir \fileserver[.domain.mydomain.com]\wpkg
[...result OK... ]

... enquanto no Windows 7 não há nada contra o uso do CNAME:

C:\WINDOWS\system32>dir \wpkg[.domain.mydomain.com]\wpkg
[...result OK... ]

C:\WINDOWS\system32>dir \fileserver[.domain.mydomain.com]\wpkg
[...result OK... ]

Note que aqui recebi um erro Access denied , não um aviso de senha.