服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Active Directory:以WinXP SYSTEM用户的身份访问networking共享
Intereting Posts
我该如何处理像“rx ^ OPTIONS $”匹配的apache2 modsecurity2警告与“REQUEST_METHOD”所需的警告? 只显示文件中的新内容 我使用正确的自定义安全服务吗? 硬件寻址和可configuration的寻址scheme Commvault,如何按预定时间生成报告? 试图让霍比特客户端显示CPU,MEM,磁盘等 文件匹配导致PHP下载不parsing configuration多个AP的无线networking 可以使用思科ASA的控制台电缆,并与ESXi交互使用? 蜂窝networking的数据链路协议是什么? 基于客户端MAC的Windows Server DHCP分配 Xeon 5649在Supermicro X8DTE-F主板上没有POST 具有链接function的networking监控系统(如OpenNMS链接) 寻找大量的电子邮件传送服务 在大国之间发生战争的情况下,互联网会发生什么?

Active Directory:以WinXP SYSTEM用户的身份访问networking共享

问题:

我无法通过在Windows XP上运行的进程以SYSTEM帐户访问Domain Computers可访问的networking共享。

我有一个2008R2域,一个2003R2文件服务器和一组客户端。

在文件服务器上,我已经创build了可供“ Domain Computers组访问的共享。 该共享应该保存一个由SYSTEM用户运行的系统服务( Wpkg-GP )从域工作站访问的只读文件存储库( Wpkg )。

现在的问题是,虽然它在Windows 7上完美运行, 但在Windows XP上完全失败 。 看来由于某种原因,Windows XP上的SYSTEM帐户无法作为计算机进行身份validation。 详细了解更多。

问题:

我做错了什么?

这可能是Windows XP系统的自然行为? 如果是这样,是否可以改变或修复? 或者有没有其他的方法来实现一个scheme,在这个scheme中,networking共享对计算机上的SYSTEM用户是可见的,用户不能访问?

细节:

  • Domain Computers组已获得文件和共享的权限
  • 我已经检查了更高的权限,从ReadFull Controll
  • 我已经用安装在VBox上的全新的开箱即用操作系统testing了这个问题

由于问题是由应用程序报告的,我首先开始validation实际的SYSTEM用户权限。 在Windows版本(7和XP)上,我打开了一个提升的cmd会话模拟SYSTEM帐户(使用PsExec -s -i cmd.exe )并尝试手动挂载networking共享: 

 net use x: \\myfs.mydomain.com\Wpkg

在Windows 7上,该驱动器已安装没有问题。 但在Windows XP上,该命令用不正确的密码和新的提示信息进行响应: 

 [Windows XP] Password for \\myfs.mydomain.com\Wpkg is incorrect. Please enter password for "myfs.mydomain.com": _

(请注意,这只是一个翻译,官方英文区域听起来可能不同)

在一个普通的,香草的环境中,你的行为将起作用。 我无法复制你所看到的。 我创build了一个共享(\\ server \ share),授予了Domain Computers的读取权限,并删除了所有其他的ACE。 在psexec -s -i -d cmd下运行,我可以从XP和Win7计算机上访问共享。

XP的计算机是域计算机的成员,你有多确定? 默认情况下,所有新计算机帐户都是域计算机的member ,而不是通过member (或memberOf )属性,而是作为对象的主要组。 域计算机组的众所周知的RID是515.该RID值标记在计算机对象的primaryGroupID属性上。

你可以看看计算机对象的primaryGroupID和memberOf属性,让我知道什么,如果有的话,是否存在? 对于这个问题,如果你感到舒服,你可以发布一个XP和Win7电脑的完整输出? 无论哪种方式,获取信息的简单方法是使用以下命令: dsquery * -filter "name=COMPUTER_NAME_GOES_HERE" -attr *

还有一件事要尝试改变共享/ NTFS上的ACL,一次一个,允许EveryoneAuthenticated UsersDomain Users和计算机名称本身。 尝试每个,看看,如果有的话,工作。

固定!

问题的根源在于文件服务器没有注册到DC DNS中 。 看起来这似乎是由某人故意完成的 – 相应的networking接口选项已被手动取消选中: 

 (network interface) -> Properties -> TCP/IP Protocol -> Advanced -> DNS -> [ ] Register this connection's address in DNS

检查上述选项并发出ipconfig /registerdns

  • 文件服务器在DC DNSlogging中正确注册
  • Windows XP SYSTEM用户开始正确安装有问题的共享,而不要求凭据

Windows XP和Windows 7的不同行为必然是由于内部实现的一些差异造成的; 我猜猜Kerberos,虽然我对Kerberos的知识还不够肤浅。

我觉得足够有趣的补充,当我尝试添加来自ie的CNAMElogging时,会发生一个相当类似的事情。 wpkg.domain.mydomain.comfilesystem.domain.mydomain.com

在Windows XP中,只有最终的主机名才起作用: 

 C:\WINDOWS\system32>dir \\wpkg[.domain.mydomain.com]\wpkg Access denied. C:\WINDOWS\system32>dir \\fileserver[.domain.mydomain.com]\wpkg [...result OK... ]

…而在Windows 7上,没有任何反对使用CNAME: 

 C:\WINDOWS\system32>dir \\wpkg[.domain.mydomain.com]\wpkg [...result OK... ] C:\WINDOWS\system32>dir \\fileserver[.domain.mydomain.com]\wpkg [...result OK... ]

请注意,在这里我得到了一个Access denied错误,而不是密码提示。