Я подробно исследовал это, но не могу найти решения конкретной проблемы, с которой я сталкиваюсь. Очевидно, существует ряд подобных проблем, которые регулярно вызывают проблемы у людей, пытающихся подключиться или отдать удаленные команды серверу Windows, но ни одно из решений, которые я нашел, не помогло в этом случае.
Сценарий (без домена):
При такой настройке UserA может подключать рабочий стол к серверу и выполнять административные задачи.
Но если UserA попытается закрыть ServerA из командной строки WorkstationA, даже из командной строки администратора, доступ будет запрещен:
shutdown /m \\ServerA /t 0 /s
ServerA: Access is denied.(5)
Аналогичным образом запрещается прямой доступ к файловой системе сервера с помощью проводника Windows, который запускает диалог имени пользователя и пароля.
И вот в чем дело:
Я нашел причину, и это не кто иной, как наш дорогой друг UAC.
Я наткнулся на это экспериментально, вспомнив, что (в зависимости от настроек) UAC будет запрашивать у членов группы администраторов повышение привилегий, в то время как встроенный администратор получает автоматическое повышение без запроса. Это заставило меня задуматься, была ли проблема с запросом удаленного пользователя.
Я обнаружил, что с отключенным UAC все начало работать как положено.
К сожалению, похоже, что нет никаких настроек, которые позволяли бы этим вещам работать с включенным UAC. Я попробовал все параметры политики, связанные с UAC (например, «повышать уровень администраторов без запроса»), на случай, если они могут решить мою проблему как побочный эффект, но не нашел в этом никакого удовольствия.
Я только что загрузил сервер 2008R2, чтобы еще раз проверить то, что я сказал в вопросе о более ранних версиях, и действительно, при включенном UAC он разрешает доступ из того же пользователя UserA на WorkstationA.
Похоже, это поведение изменилось в 2012 году или в результате обновления.
Итак, у меня есть ответ, но пока нет решения. Я не собираюсь отмечать этот ответ как принятый.
Чтобы отключить удаленные ограничения UAC, выполните следующие действия: Нажмите кнопку Пуск, выберите команду Выполнить, введите regedit и нажмите клавишу ВВОД. Найдите и щелкните следующий подраздел реестра: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System. Если запись реестра LocalAccountTokenFilterPolicy не существует, выполните следующие действия. В меню «Правка» выберите пункт «Создать» и нажмите «Значение DWORD». Введите LocalAccountTokenFilterPolicy и нажмите клавишу ВВОД. Щелкните правой кнопкой мыши LocalAccountTokenFilterPolicy и выберите команду Изменить. В поле «Значение» введите 1 и нажмите кнопку «ОК». Закройте редактор реестра.
Попробуйте включить встроенную учетную запись администратора (и перезагрузитесь, чтобы применить изменения):
net user administrator /active:yes
Вы можете прочитать об этом подробнее Вот.
Вам нужно проверить, в какие группы входит администратор пользователя. У меня была эта проблема с нашими серверами, и хотя, когда мы играли с ним, домена не было, группа администраторов домена была причиной проблемы ... Мне пришлось добавить пользователя в группу администраторов домена, прежде чем я смог использовать удаленные команды.
Так что просто проверьте группы безопасности :) Я предполагаю, что ваша проблема где-то там: D
надеюсь, это поможет