Windows-Server-2012-R2
SMB 連接到非域伺服器
我有一項服務需要與多台伺服器建立 SMB 連接。使用具有訪問權限的域帳戶加入域的電腦沒有問題。但是,我需要它連接到一些未加入的伺服器。
- 該服務需要 Admin$ 共享的管理員權限。
- 內置管理員帳戶被禁用。
- 我有創建的本地管理員使用者名和密碼。
- Windows 防火牆已關閉。
- 伺服器在同一個子網上,它們之間沒有防火牆。
最初 NTLM 被設置為 DENY ALL,我從來沒有得到連接。當我將設置“降低”到拒絕所有域帳戶時,我終於能夠連接到測試伺服器。但是,當我對生產伺服器進行相同的更改時,我無法連接。
花了一段時間,但我意識到我正在使用測試系統上的內置管理員帳戶。我們在所有生產伺服器上禁用此內置帳戶,並創建一個添加到本地管理員組的新帳戶。
如果啟用,我可以使用內置的管理員帳戶進行連接。
C:\Windows\system32>net use \\Server\Admin$ /USER:Administrator P@$$w0rd1 The command completed successfully.
但是,使用本地管理員組的任何其他成員,我無法連接。
C:\Windows\system32>net use \\Server\Admin$ /USER:NewAdmin NewP@$$wd System error 5 has occurred. Access is denied
任何指導表示讚賞。
To allow administrative share access in a workgroup for Windows, use the following workaround. 1. Click Start, type regedit in the Start Search box, and then press Enter. 2. Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 3. On the Edit menu, point to New, and then click DWORD (32-bit) Value. 4. Type LocalAccountTokenFilterPolicy to name the new entry, and then press Enter. 5. Right-click LocalAccountTokenFilterPolicy, and then click Modify. 6. In the Value data box, type 1, and then click OK. 7. Exit Registry Editor.
此處還記錄了:https ://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/user-account-control-and-remote-restriction 。