Aufgrund von Sicherheitsproblemen können keine Dienste auf einem Windows-Remotecomputer verwaltet werden

7

Ich habe einen Windows 2008-Computer A mit Administratorkonto X. Ich habe einen anderen Windows 2008-Computer B mit Administratorkonto Y.

Beide Computer haben ein Konto Z mit demselben Benutzernamen und Passwort auf beiden.

Konto Z befindet sich auf beiden Computern in der lokalen Administratorgruppe.

Sie sind nicht auf einer Domain.

Von Computer A aus möchte ich als Benutzer Z (der Administrator, der beiden Computern gemeinsam ist) Dienste auf Computer B starten / stoppen.

(Ich möchte dies eigentlich programmgesteuert von c # aus tun, aber im Moment ist es mein Ziel, über die Befehlszeile zu beweisen, dass es funktioniert.)

Ich habe einige Dinge ausprobiert (z. B. mit runas / user: Z cmd, dann mit sc.exe), fand aber den psservice von SysInternal nett und flexibel, da ich in der Befehlszeile einen Benutzernamen und ein Passwort angeben kann. Ich habe auch versucht, es über WMI zu codieren.

Ich bekomme immer das gleiche Ergebnis:

Wenn ich den Benutzer / Pass für Konto Y verwende (dann den tatsächlichen Administrator auf Computer B), funktioniert es. Wenn ich den Benutzer / Pass für Konto Z verwende (oder ihn lokal verkörpere), schlägt dies fehl, wenn der Zugriff verweigert wird.

Warum ist dies der Fall, da Z zur Gruppe Administratoren gehört?

Vielen Dank.

Aktualisieren:

Hier sind meine UAC-Einstellungen auf beiden Computern:

UAC

Nik
quelle
Nur weil z in admin ist, heißt das nicht, dass die Befehle als admin ausgeführt werden. Sie müssen den Befehl wie in runas admin auf admin erhöhen. Uac ist mehr als wahrscheinlich beteiligt.
Tony Roth
Ich versuche nicht, als Administrator auszuführen, sondern als Benutzer Z. Ich habe versucht, runas / user: Z zu verwenden. Die Benutzerkontensteuerung ist auf beiden Computern deaktiviert.
Nik
Ich weiß, dass Sie versuchen, den Administrator nicht auszuführen, und dass Sie das Richtige tun, indem Sie einen Runas / Benutzer ausführen: Z usw. Welche Fehlermeldung erhalten Sie? Entschuldigung, ich habe das "runas / user: Z" in deinem Beitrag verpasst.
Tony Roth
Führen Sie die Runas erneut aus und führen Sie dann "wmic / node: b os" aus. Was ist das Ergebnis?
Tony Roth
"Zugriff verweigert" wird sofort zurückgegeben.
Nik

Antworten:

5

Sehr dankbar für alle Kommentare, aber hier ist die Antwort:

http://blogs.msdn.com/b/vistacompatteam/archive/2006/09/22/766945.aspx

Es gibt eine Registrierungseinstellung

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy

Was sich darauf auswirkt.

Wenn ich diesen Registrierungseintrag auf 1 setze, funktioniert alles wie erwartet - Benutzer in der Administratorgruppe können ordnungsgemäß ordnungsgemäß remote zugreifen.

Mir ist nicht klar, ob dies über eine UAC-Einstellung hinausgeht (dh diese lokalen UAC-Einstellungen wirken sich nie auf den Remotezugriff aus) oder ob meine Deaktivierung der UAC irgendwie unzureichend ist. (Ich habe es über die Windows-Benutzeroberfläche deaktiviert. Meine Einstellungen entsprechen dem ursprünglichen Frage-Screenshot.)

Nik
quelle
1
gute Arbeit! hasse solche Dinge.
Tony Roth
Verdammt gute Arbeit. Es ist schockierend, dass dies etwas mit der Benutzerkontensteuerung zu tun hat (also Verwaltungssitzungen mit geteiltem Token).
HopelessN00b