У меня есть две машины, A и B, и обе с локальным пользователем по имени Боб, который может подключаться по RDP к обеим машинам.
Однако, когда я нахожусь на машине A, я открываю «cmd.exe», а затем набираю wmic /node:"machine-b" process call create "ipconfig", Я получаю сообщение «Доступ запрещен». Наоборот от Б к А.
Если Боб является локальным администратором на B, я могу работать с wmic с A. Это нежелательно с точки зрения безопасности.
Как я могу с этим справиться?
Заранее большое спасибо за вашу помощь.
Изменить: локальные пароли для Боба одинаковы на обеих машинах, которые также подключены к одному домену.
это вероятно из-за удаленный uac фильтруя ваш токен безопасности в токен с низким уровнем целостности, отключите его, и он, вероятно, должен работать. обратите внимание, это открывает множество других возможностей для удаленного управления другим компьютером.
Что ж, иногда WMIC может быть сложной задачей, если вы не добавляете его вручную на каждый компьютер из соображений безопасности. Первым делом отключу межсетевой экран на обеих машинах и протестирую (может это блок межсетевого экрана (https://social.technet.microsoft.com/Forums/windows/en-US/84c78946-eb05-4068-877d-489153419d13/how-to-enable-the-wmi-entry-in-the-firewall-configuration- using-gpo-on-win7? forum = winserverGP)
Более простым решением было бы использовать опцию pstools как часть пакета sisteminternals. https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
Полный список того, что вы можете сделать здесь: http://www.programering.com/a/MzMyADMwATU.html
Также, если у вас продолжаются сбои в этом wmic, вы также можете использовать PowerShell спаситель wmi. Вот как его установить https://technet.microsoft.com/en-us/library/ff700227.aspx И еще документация здесь http://www.computerperformance.co.uk/powershell/powershell_wmi.htm
Это работает, когда на обеих машинах есть совпадающие именованные учетные записи пользователей, у которых пароль для обеих учетных записей одинаков. Это функция сквозной аутентификации NTLM. Один из вариантов для вас - использовать разные учетные записи пользователей на каждой машине и передавать соответствующие имя пользователя / пароль в ваших командах. Другой вариант - присоединить эти машины к одному домену Active Directory, что потребует развертывания домена AD.
Для тех, кто ищет, что решило проблему:
Проблема заключалась в том, что Боб был в группе «Пользователи удаленного рабочего стола», однако учетная запись также должна быть в группе «Пользователи удаленного управления».