難倒:從 Win2003 訪問 Win2008 – 域與否
對不起,奇怪的標題,想不出一個好的方法來解釋這個。
我有一個不在域中的 Win2008 伺服器。我有兩台Win2003機器,一台在域中,一台不在。他們都有一個名為“testAdmin”的本地帳戶,三個帳戶的密碼相同。
通過使用同步的本地賬號,Win2003機器可以通過RDC連接到Win2008伺服器,可以讀取遠端Application Event Log等。
如果我使用域帳戶登錄到 Win2003 附加域的機器,然後嘗試連接到 Win2008 機器,則沒有骰子(預期 – 2008 不是域的一部分)。但是,如果我使用 Windows 事件日誌查看器,並嘗試連接到 Win2008 機器,提供同步的本地帳戶和密碼,它仍然不起作用(訪問被拒絕)。
更奇怪的是:我可以發出一個
NET USE \\<win2008>\IPC$ <local_password> /USER:<2003-local-account>IPC$ 附加工作——它顯示在一個空白的 NET USE 命令中。但是,如果我嘗試查看 Win2008 事件日誌,我仍然會被拒絕訪問。
所以不知何故,2008 機器可以判斷我是否在模擬 2003 機器上的本地帳戶。它怎麼能做到這一點?當以域帳戶登錄但使用本地帳戶憑據時,如何讓 2008 機器讓我進入?
使用者由域名\使用者名定義。如果您不提供域名,伺服器會對域進行假設。非域伺服器將始終假定 domain = local_server_name。成員伺服器通常會假設 domain = domainname。儘管如此,成員伺服器還是有自己的本地域。只有域控制器沒有這個本地域。
您正在處理 4 個域:
域,2003_server1、2003_server2、2008_server。
由於所有使用者都被稱為相同,並且密碼相同,因此有時會起作用。特別是,與
網路使用 \IPC$ /USER:<2003-local-account>
win2008 假定使用者是它的本地帳戶。/user:2003_server1\2003-local-account 完全不同。
請在始終提供明確的域/本地憑據的同時重試整個 shebang,您會發現這是有道理的。