Por que o Windows Server 2012 R2 reconhece um administrador local na rede para alguns propósitos, mas não para outros?

Navegue suas respostas
1

Eu pesquisei isso longamente, mas não consigo encontrar uma solução para o problema específico que estou recebendo. Evidentemente, há vários problemas semelhantes que regularmente causam problemas a pessoas que tentam se conectar ou emitem comandos remotos a um servidor Windows, mas nenhuma das soluções que encontrei ajuda nesse caso.

Cenário (nenhum domínio envolvido):

  • UserA tem uma conta de grupo de trabalho no WorkstationA (Win7 Ultimate).
  • UserA tem uma conta de grupo de trabalho no ServerA (2012 R2).
  • O usuário A está no grupo Administradores nas duas máquinas.

Com essa configuração, o UserA pode usar a área de trabalho remota no servidor e executar tarefas administrativas.

Mas, se o UserA tentar encerrar o ServerA a partir de um prompt de comando do WorkstationA, mesmo a partir de um prompt de comando do administrador, o acesso será negado: 

shutdown /m \ServerA /t 0 /s
ServerA: Access is denied.(5)

Da mesma forma, o acesso direto é negado ao sistema de arquivos do servidor usando o Windows Explorer, que aciona um diálogo de nome de usuário / senha.

E aqui está a coisa:

  • Tudo isso costumava funcionar, no Server 2008 e 2008R2
  • Se o UserA efetuar logon no WorkstationA como o usuário chamado Administrator (em vez da conta UserA que está no grupo Administrators em ambas as máquinas), tudo funcionará.
por Reg Edit 30.08.2014 / 11:32

4 respostas

1

Eu encontrei a causa, e não é outro senão o nosso querido amigo UAC.

Eu tropecei nisso por experimentação, depois de relembrar que (dependendo das configurações) o UAC solicitará aos membros do grupo Administradores a elevação de privilégio, enquanto o Administrador interno obtém elevação automática sem avisar. Isso me levou a pensar se era um problema ao solicitar um usuário remoto.

Descobri que, com o UAC desativado, tudo começou a funcionar como esperado.

Infelizmente, parece não haver nenhuma configuração que permita que esses itens funcionem com o UAC ativado. Eu tentei todas as configurações de política relacionadas ao UAC (como "elevar administradores sem avisar") no caso de elas resolverem meu problema como um efeito colateral, mas não encontrei alegria lá.

Acabei de inicializar um servidor 2008R2 para checar novamente o que eu disse na pergunta sobre versões anteriores, e é de fato que com o UAC ativado, ele permite o acesso em questão do mesmo UserA no WorkstationA.

Portanto, parece que esse comportamento mudou em 2012 ou como resultado de uma atualização.

Então eu tenho uma resposta, mas ainda não tenho solução. Não pretendo marcar esta resposta como aceita.

    
por 30.08.2014 / 19:34
0

Você precisa verificar em quais grupos o administrador do usuário está incluído. Eu tive esse problema com nossos servidores e, embora não houvesse nenhum domínio em que estivéssemos brincando com ele, o grupo de administradores do domínio estava causando o problema ... tive que adicionar o usuário ao grupo de administradores do domínio antes de poder usar comandos remotos.

Então, basta verificar os grupos de segurança :) Eu imagino que seu problema esteja lá em algum lugar: D

Espero que isso ajude

    
por 30.08.2014 / 12:49
0

Tente ativar a conta do Administrador Interno (e reinicialize para aplicar as alterações): 

net user administrator /active:yes

Você pode ler mais sobre isso aqui .

    
por 30.08.2014 / 13:25
0

Para desabilitar as restrições remotas do UAC, siga estas etapas: Clique em Iniciar, clique em Executar, digite regedit e pressione ENTER. Localize e, em seguida, clique na seguinte subchave do Registro: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System Se a entrada de registro LocalAccountTokenFilterPolicy não existir, siga estas etapas: No menu Editar, aponte para Novo e clique em Valor DWORD. Digite LocalAccountTokenFilterPolicy e, em seguida, pressione ENTER. Clique com o botão direito do mouse em LocalAccountTokenFilterPolicy e clique em Modificar. Na caixa dados do valor, digite 1 e, em seguida, clique em OK. Saia do Editor do Registro.

    
por 19.04.2017 / 18:42

Tags

Server Console remoto parou de funcionar após a reinicialização Manipular banco de dados SBSMonitoring