Windows-Server-2012-R2

SMB 連接到非域伺服器

  • February 10, 2021

我有一項服務需要與多台伺服器建立 SMB 連接。使用具有訪問權限的域帳戶加入域的電腦沒有問題。但是,我需要它連接到一些未加入的伺服器。

  • 該服務需要 Admin$ 共享的管理員權限。
  • 內置管理員帳戶被禁用。
  • 我有創建的本地管理員使用者名和密碼。
  • Windows 防火牆已關閉。
  • 伺服器在同一個子網上,它們之間沒有防火牆。

最初 NTLM 被設置為 DENY ALL,我從來沒有得到連接。當我將設置“降低”到拒絕所有域帳戶時,我終於能夠連接到測試伺服器。但是,當我對生產伺服器進行相同的更改時,我無法連接。

花了一段時間,但我意識到我正在使用測試系統上的內置管理員帳戶。我們在所有生產伺服器上禁用此內置帳戶,並創建一個添加到本地管理員組的新帳戶。

如果啟用,我可以使用內置的管理員帳戶進行連接。

C:\Windows\system32>net use \\Server\Admin$ /USER:Administrator P@$$w0rd1
The command completed successfully.

但是,使用本地管理員組的任何其他成員,我無法連接。

C:\Windows\system32>net use \\Server\Admin$ /USER:NewAdmin NewP@$$wd
System error 5 has occurred.
   
Access is denied

任何指導表示讚賞。

https://docs.microsoft.com/en-us/troubleshoot/windows-client/networking/cannot-logon-access-administrative-share

To allow administrative share access in a workgroup for Windows, use the following workaround.

1. Click Start, type regedit in the Start Search box, and then press Enter.
2. Locate and then click the following registry subkey:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
3. On the Edit menu, point to New, and then click DWORD (32-bit) Value.
4. Type LocalAccountTokenFilterPolicy to name the new entry, and then press Enter.
5. Right-click LocalAccountTokenFilterPolicy, and then click Modify.
6. In the Value data box, type 1, and then click OK.
7. Exit Registry Editor.

此處還記錄了:https ://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/user-account-control-and-remote-restriction 。

引用自:https://serverfault.com/questions/1053024