我有一个域有几个DC(Win 2k8 R2)和大约15个工作站(Win7,x64)左右。
当试图(远程)访问一个特定的Win 7工作站(这应该与其他应用程序没有任何区别)时,大多数远程pipe理任务会产生“访问被拒绝”,例如,当试图使用MMC打开计划任务时,服务(这需要通过GPO分发的一些特殊的registry键),事件或使用浏览器浏览默认的SMB份额(美元份额)等。
各个命令行工具也失败,例如:
C:\development\ecd-vr>schtasks /run /tn EveNightly /s dionysus ERROR: Access denied (呃,其实最后一行是从德文翻译过来的:-)
很显然,我正在试图做一个login域pipe理员 – 同样的事情(使用相同的pipe理员用户)与任何其他机器工作正常。
什么工作:
以防万一有人想 – 股票本身在那里:
C:\development\ecd-vr>net share Name Ressource Description ------------------------------------------------------------------------------- IPC$ Remote IPC C$ C:\ Default share D$ D:\ Default share ADMIN$ C:\Windows Remote Admin CC:\
(再次翻译成德文)
ACL也很好看:
C:\Users\fnawothnig>icacls c:\ c:\ BUILTIN\Administrators:(F) BUILTIN\Administrators:(OI)(CI)(IO)(F) NT AUTHORITY\SYSTEM:(F) NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F) BUILTIN\Users:(OI)(CI)(RX) NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M) NT AUTHORITY\Authenticated Users:(AD) Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)
(再次翻译)
来自'whoami / groups'的输出没有什么不寻常之处,这并不令人惊讶,因为无论如何,所有的东西都是有效的。
默认的SMB共享(例如\ machine \ c $)产生一个密码对话框,input我的凭证后,对话框再次出现(“拒绝访问”的正常行为)。 虽然安全日志显示成功validation。
不知道如何从这里开始 – 我会感激任何想法…
你不说,但我假设你使用域pipe理员帐户来执行这些任务。
这听起来像一个红色的用户(具有本地pipe理员权限)从本地pipe理员组中删除域pipe理员组。 有一些registry黑客,也可以达到你描述的相同的结果。 这个工作站的主要用户是“超级用户”吗? 他们有本地pipe理员权限吗? 他们看起来像是会攻击自己的工作站的用户types?