由於安全問題,無法管理遠端 Windows 機器上的服務
我有一台具有管理員帳戶 X 的 Windows 2008 機器 A。我有另一台具有管理員帳戶 Y 的 Windows 2008 機器 B。
兩台機器都有一個帳戶 Z,兩者的使用者名和密碼相同。
帳戶 Z 位於兩台電腦上的本地管理員組中。
他們不在域上。
從機器 A,作為使用者 Z(兩台機器共有的管理員)我想在機器 B 上啟動/停止服務。
(我實際上想從 c# 以程式方式執行此操作,但現在通過命令行來證明它有效是我的目標。)
我嘗試了一些方法(例如,使用 runas /user:Z cmd,然後使用 sc.exe),但發現 SysInternal 的psservice很好且靈活,因為我可以在命令行上指定使用者名和密碼。我也嘗試過通過 WMI 對其進行編碼。
我總是得到相同的結果:
如果我使用帳戶 Y 的使用者/通行證(然後是機器 B 上的實際管理員),它可以工作。如果我使用帳戶 Z 的使用者/通行證(或在本地模擬它),它會因訪問被拒絕而失敗。
既然 Z 在 Administrators 組中,為什麼會這樣呢?
謝謝。
更新:
這是我在兩台機器上的 UAC 設置:
非常感謝大家的評論,但這裡是答案:
http://blogs.msdn.com/b/vistacompatteam/archive/2006/09/22/766945.aspx
有一個系統資料庫設置
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy
這會影響到這一點。
如果我將該系統資料庫項設置為 1,則一切都會按預期進行 - 管理員組中的使用者可以正確遠端訪問。
我不清楚這是否超出了任何 UAC 設置(即那些本地 UAC 設置從不影響遠端訪問),或者我對 UAC 的禁用是否不合適。(我使用 Windows UI 禁用了它——我的設置與原始問題截圖一致)。