Autenticação e autorização são dois conceitos diferentes. O primeiro é basicamente verificar as credenciais de logon, enquanto o segundo está verificando o tipo de acesso ao qual o usuário tem direito.
\srvsvc
não é um arquivo, é um chamado "named pipe" e é usado principalmente como um mecanismo para enumerar os compartilhamentos fornecidos por um servidor de arquivos - que é o que está sendo feito quando um servidor de arquivos é chamado Windows Explorer (ou seja, você digita \server
na barra de endereço) ou após uma solicitação net view \server
. Como sua conta de máquina SUSPICIOUSID $ é membro do grupo AUTHENTICATED USERS incorporado, ele tem o direito de usar \srvsvc
por padrão para listar compartilhamentos em todos os membros do domínio. Isso não significa que ele possa acessar qualquer um dos compartilhamentos listados ou os arquivos nele contidos.