Учетная запись компьютера (СИСТЕМА) по сети
У меня есть интересная проблема... Мне нужна локальная учетная запись SYSTEM на одном сервере для доступа к определенной сетевой папке на другом сервере. По другим причинам я пока не могу использовать обычную учетную запись домена.
Используя "psexec -s", я поиграл с подключением к сетевым ресурсам под локальной учетной записью SYSTEM с помощью "net use". Поскольку я нахожусь в домене, я могу просто добавить учетную запись DOMAIN\COMPUTER$ к общему ресурсу и разрешениям NTFS.
Это, кажется, работает хорошо везде, кроме одного сервера. Если я добавлю "Все" в общий ресурс и NTFS, то этот один сервер может подключиться. В разрешениях NTFS (вкладка "Безопасность") я заметил, что все остальные добавленные мной серверы имеют значок компьютера слева. Этот один сервер имеет значок пользователя. При добавлении аккаунта я специально сказал, что нужно искать только компьютеры в домене. И если я не выбираю компьютеры, он никогда не находит учетную запись.
По сути, кажется, что учетная запись сервера в домене отличается / повреждена каким-то образом. Кто-нибудь сталкивался с этим? Я бы попробовал повторно добавить сервер, но это важно и должно быть как можно больше. Я надеюсь, что есть решение в Active Directory или что-то...
4 ответа
Видимо икона была незначительной. Я пытался показать кого-то еще, и тогда иконка появилась правильно. Я нажал "ОК", снова открыл разрешения и иконка вернулась к иконке пользователя. Сервер не полностью исправлен, так что, возможно, есть обновление для этого. В любом случае, это не было проблемой.
Что это было на самом деле... Был пакетный файл, время от времени работающий как SYSTEM. Он делал "net use \server1\share1 /user:domain\account /password ***" и никогда не удалял соединение. Поэтому, когда я запускал командную строку как SYSTEM и пытался подключиться к \server1\share2 (без указания учетных данных), он фактически использовал кэшированный домен \account. Я проверил журнал событий безопасности, но никогда не видел эту учетную запись домена (сервер может не проверять все...). Как только я исправлю другую проблему, я смогу использовать учетные записи домена и предотвратить все это.
В любом случае, спасибо за попытку помочь.
Как правило, вам лучше использовать группу "Прошедшие проверку" вместо группы "Все". Функционально они практически идентичны в большинстве практических способов и немного более безопасны.
Для меня это звучит так, будто что-то пошло не так. Почему бы не удалить сервер из домена, удалить учетную запись и присоединиться к ней?
Я согласен, что-то не так с этим аккаунтом. Единственное, что я могу предложить (и это выход из левого поля), не удаляя машину из AD и не присоединяясь, это попытаться сбросить пароль учетной записи, возможно, вам повезет, Technet linky