在某些情况下,“Guest”用户似乎没有在Windows Server 2003的“Everyone”内置组中的成员身份login。我想更详细地了解为什么以及何时可能出现这种情况。
背景:已经为访客访问configuration的Server 2003机器上设置了打印机队列。 打印机队列有一个Everyone:打印ACE。 一般来说,来宾访问似乎正在工作,用户(任何用户)都可以通过队列打印。
定期(通常只限于有限的时间段内)连接到队列的用户会收到“访问被拒绝”错误。 已经为特定的打印队列启用了审计。 安全日志显示用户的login成功(并且networking跟踪显示与IPC $成功连接),但随后的打印机访问被logging为“审计失败”:
Object Open: Object Server: Spooler Object Type: Printer Object Name: MultiCa_Print Handle ID: 10201568 Operation ID: - Process ID: - Image File Name: 928 Primary User Name: C:\WINDOWS\system32\spoolsv.exe Primary Domain: SERVER1$ Primary Logon ID: DRUCKABRECHNUNG Client User Name: (0x0,0x3E7) Client Domain: Gast Client Logon ID: SERVER1 Accesses: (0x1,0x6E468485) Privileges: DELETE READ_CONTROL WRITE_DAC WRITE_OWNER Full Control Print Restricted Sid Count: - Access Mask: 0 DRUCKABRECHNUNG域名(显然曾经是一个Samba NT4风格的域名)的成员资格似乎已经不存在了,因为域名无法用于DC列表的parsing,尽pipe我需要做一些更多的研究,以便能够做出明确的陈述。
我强烈怀疑域名成员至less是一个触发器,如果不是原因的话。 我感兴趣的是一个似是而非的解释,为什么授予打印机队列将被拒绝考虑事实
当我们有一个类似的问题,(人们被拒绝访问Everyone都可以访问的打印队列),并打开了一个微软的支持案例,我们[最终]最终导致了由不包括Anonymous的Everyone组在Server 2003和XP中 。
我忘记了在我们的特定情况下失败的原因是什么导致我们的一些用户有时不能被正确的身份validation,但无论它是什么,身份validation打破了某个地方,导致用户被视为未经authentication的用户( Anonymous )在此基础上拒绝访问。
事实上,你在那里有一个已经失效的域名,这大概无法authentication用户,这让我想到了同样的事情发生在你身上。 他们不能被authentication,所以他们被视为未经authentication的用户( Anonymous ),并在此基础上被拒绝访问。