Active Directory：以 WinXP SYSTEM 使用者身份訪問網路共享

問題：

我無法Domain Computers通過在 Windows XP 上作為SYSTEM帳戶執行的程序訪問 -accesible 網路共享。

我有一個 2008R2 域、一個 2003R2 文件伺服器和一組客戶端。

在文件伺服器上，我已使該Domain Computers組可以訪問共享。該共享應該包含一個只讀的文件儲存庫（​​ Wpkg ），由使用者執行的系統服務（ Wpkg-GP ）從域工作站訪問。SYSTEM

現在的問題是，雖然它在 Windows 7 上完美執行，但在 Windows XP 上完全失敗。看來，由於某種原因SYSTEM，Windows XP 上的帳戶無法作為電腦進行身份驗證。查看更多詳細資訊。

問題：

我做錯了什麼？

這可能是 Windows XP 系統的自然行為嗎？如果是這樣，它可以更改或修復嗎？或者有沒有其他方法可以實現一個場景，其中網路共享SYSTEM對電腦上的使用者可見，而使用者無法訪問？

細節：

• 該Domain Computers組已獲得文件和共享的權限
• 我已經檢查了更高的權限，一直Read到Full Controll
• 我已經用安裝在 VBox 上的全新、開箱即用的作業系統測試了這個問題

由於問題是由應用程序報告的，我首先開始驗證實際SYSTEM使用者權限。在兩個 Windows 版本（7 和 XP）上，我打開了一個提升的cmd會話模擬SYSTEM帳戶（使用PsExec -s -i cmd.exe）並嘗試手動安裝網路共享：

net use x: \\myfs.mydomain.com\Wpkg

在 Windows 7 上，驅動器已毫無異議地安裝。但在 Windows XP 上，該命令以錯誤密碼的資訊和新密碼的提示進行響應：

[Windows XP]
Password for \\myfs.mydomain.com\Wpkg is incorrect.

Please enter password for "myfs.mydomain.com": _

（請注意，這只是一個翻譯，官方英語語言環境可能聽起來不同）

固定的！

問題的根源是文件伺服器沒有將自己註冊到 DC DNS中。看來這顯然是有人故意做的 - 相應的網路介面選項已手動取消選中：

(network interface) 
 -> Properties 
   -> TCP/IP Protocol 
     -> Advanced 
       -> DNS 
         -> [ ] Register this connection's address in DNS

檢查上述選項並發出後ipconfig /registerdns：

• 在 DC DNS 記錄中正確註冊的文件伺服器
• Windows XPSYSTEM使用者開始正確掛載有問題的共享，而不被要求提供憑據

Windows XP 和 Windows 7 的不同行為一定是由於內部實現的一些差異；我猜是 Kerberos，儘管我對 Kerberos 的了解還很膚淺。

---

我發現添加起來很有趣，當我嘗試CNAME從 ie 添加記錄時會發生非常相似的事情。wpkg.domain.mydomain.com至filesystem.domain.mydomain.com：

在 Windows XP 中，只有最終主機名有效：

C:\WINDOWS\system32>dir \\wpkg[.domain.mydomain.com]\wpkg
Access denied.

C:\WINDOWS\system32>dir \\fileserver[.domain.mydomain.com]\wpkg
[...result OK... ]

…雖然在 Windows 7 上沒有反對使用 CNAME：

C:\WINDOWS\system32>dir \\wpkg[.domain.mydomain.com]\wpkg
[...result OK... ]

C:\WINDOWS\system32>dir \\fileserver[.domain.mydomain.com]\wpkg
[...result OK... ]

請注意，這裡出現Access denied錯誤，而不是密碼提示。

在正常的香草環境中，您所做的一切都會奏效。我無法複製你所看到的。我創建了一個共享 (\server\share)，授予域電腦讀取訪問權限，並刪除了所有其他 ACE。在 下執行psexec -s -i -d cmd，我可以從 XP 和 Win7 電腦訪問共享。

您有多確定 XP 電腦是域電腦的成員？預設情況下，所有新電腦帳戶都是域電腦的成員，而不是通過member（或memberOf）屬性，而是作為對象的主組。Domain Computers 組的眾所周知的 RID 是 515。該 RID 值標記在電腦對象的 primaryGroupID 屬性上。

您能看一下電腦對象的 primaryGroupID 和 memberOf 屬性，並告訴我存在什麼（如果有的話）嗎？就此而言，如果您願意，您可以發布 XP 和 Win7 電腦的完整輸出嗎？無論哪種方式，獲取資訊的簡單方法是使用以下命令dsquery * -filter "name=COMPUTER_NAME_GOES_HERE" -attr *：

要嘗試的其他方法是更改​​共享/NTFS 上的 ACL，一次一個，以允許Everyone、Authenticated Users、Domain Users和電腦名稱本身。嘗試每一個，看看哪一個（如果有的話）有效。

引用自：https://serverfault.com/questions/496312