Berechtigungen erforderlich, um Windows-Dienste remote auf einem anderen mit einer Arbeitsgruppe verknüpften Computer zu bearbeiten

Question

Berechtigungen erforderlich, um Windows-Dienste remote auf einem anderen mit einer Arbeitsgruppe verknüpften Computer zu bearbeiten

Ich weiß, dass es viele ähnliche Fragen gibt, aber alle verwenden die folgende Syntax, um eine Verbindung herzustellen:

runas /netonly /user:[Domain]\[Account on Domain with Administrator access] 
[Program]

Ich muss Dienste remote von einem anderen mit einer Arbeitsgruppe verknüpften Computer aus starten/stoppen. Mein Problem ist, dass mein Computer nicht über eine domain Struktur verbunden ist, die die Syntax zu implizieren scheint. Wenn Sie dies verwenden, öffnet sich das Programm (z. B. cmd), führt jedoch sc \\[Domain\Machine] query für die geöffnete Instanz von cmd aus.exe funktioniert nicht, wenn der Zugriff verweigert wird Fehlermeldung.

Eine andere Alternative, die ich an anderer Stelle im StackOverflow gefunden habe, ist

net use \\[Machine IP/Host name]\IPC$ user:[Account on Machine with 
Administrator Access] [Password]
sc \\[Machine] [Command]

Im zweiten Fall funktioniert die erste Zeile, wenn ich die Kontoanmeldeinformationen ordnungsgemäß eingebe, vorausgesetzt, dasselbe Konto wird von niemandem auf dem Remotecomputer verwendet...

Aber die zweite Zeile schlägt fehl und gibt den gleichen Zugriff verweigert Fehler wie zuvor. Ich bin am Ende meines Witzes, um dieses Problem zu lösen.

Komischerweise scheint die genaue Situation anderswo im Internet überhaupt nicht angesprochen zu werden, und niemand hat sich über die Anforderung von Anmeldeinformationen beschwert, die sie daran hindern, sc oder net start z. B. remote zu verwenden. Fast alle Fragen zu SO beziehen sich auf die genaue Syntax.

Das einzige Problem, das ich identifizieren kann, ist, ob mein Computer in einer - Arbeitsgruppenstruktur () im Gegensatz zur - Domäne () verbunden ist. Was ist das eigentliche Problem?

EDIT: Ein wichtiger Punkt ist, dass, wenn ich sc \[Machine] start [Service] sage und den Namen eines nicht vorhandenen Dienstes in der Syntax gebe, der fehlermeldung ist so etwas wie Dienst existiert nicht als installierter Dienst, aber wenn ich den Namen eines gültigen Dienstes eingebe, ist der Fehler Zugriff verweigert..

EDIT 2: Es hat funktioniert, nachdem die Benutzerzugriffskontrolle vollständig deaktiviert wurde. Ich nehme an, das ist nicht der sicherste Weg. Gibt es Alternativen mit aktivierter UAC?

EDIT 3: Ich denke, es hat damit zu tun, adminstrative Priveliges mit cmd auf dem Remote-Computer abzurufen. Wie kann ich das erreichen innerhalb der Befehlszeile?

3

permissions windows networking remote-desktop

Author: hrshi1990, 2014-08-07

Source

2 answers

Bei Arbeitsgruppen fordern Sie Informationen von dem Computer an, der die Funktion "Browser" verarbeitet. Dies wird nicht in Echtzeit aktualisiert und kann daher sehr erfolgreich sein. Wenn Sie lokal denselben Benutzernamen und dasselbe Kennwort wie der Computer verwenden, den Sie verwalten, sollten Sie in Ordnung sein, da die Anforderung ohne den Browser verarbeitet wird.

0

Author: Glen,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2014-08-11 06:15:10

score 4 · Accepted Answer

OK, ich habe das Problem gefunden.. Anscheinend beschränkt UAC zumindest in Windows 8, 8.1 und Windows Server 2008 administrative Berechtigungen, die Änderungen an local Admins erfordern, um default.

Der einzige Grund, warum ich mir das vorstellen kann, ist, dass, wenn der angemeldete Benutzer eines mit einer Arbeitsgruppe verbundenen Remotecomputers identische Anmeldeinformationen (ID und Kennwort) wie der des Heimcomputers hat, der Remote-Benutzer qualifiziert wäre, Änderungen an der Befehlszeile mit Administratorrechten vorzunehmen obwohl es wahrscheinlich nicht die Absicht des Mannes ist, den Heimcomputer zu steuern.

Dies bedeutet also wahrscheinlich, dass aus Sicherheitsgründen ein zusätzlicher Filter eingeführt wurde, um solche Aktivitäten nur auf den lokalen Administrator zu beschränken.

Es ist hier rüber gegeben... https://serverfault.com/questions/111007/having-trouble-using-psservice-and-sc-exe-between-windows-server-2008-machines

D.h. Einstellung

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\
LocalAccountTokenFilterPolicy] = 1

In der Registrierung ist wahrscheinlich, das Problem zu lösen, nachdem Neustart des Computers. Da dies zumindest bei arbeitsgruppengebundenen Computern ein so häufiges Problem ist, habe ich keine Ahnung, warum diese Lösung im Internet nicht einfacher erreichbar ist.