«Доступ запрещен» для удаленного администрирования Windows (schtascks, eventvwr, общие ресурсы SMB по умолчанию)

У меня есть домен с парой DC (Win 2k8 R2) и около 15 рабочих станций (Win7, x64) или около того.

При попытке (удаленного) доступа к определенной рабочей станции Win 7 (которая на самом деле не должна отличаться от других) большинство задач удаленного администрирования дают сообщение «Доступ запрещен», например, при попытке использовать MMC для открытия запланированных задач, служб (для этого требуется специальный ключ реестра, который я распространяю через GPO), события или использование проводника для просмотра общих ресурсов SMB по умолчанию (долларовые доли) и т. д.

Соответствующие инструменты командной строки также не работают, например:

C:\development\ecd-vr>schtasks /run /tn EveNightly /s dionysus
ERROR: Access denied

(Ну, вообще-то последняя строчка переведена с немецкого :-)

Очевидно, я пытаюсь сделать это как зарегистрированный администратор домена - то же самое (с использованием того же пользователя-администратора) отлично работает с любым другим компьютером.

какой делает работай:

Удаленный рабочий стол (поэтому это просто раздражает - не критично) ... Думаю, это может быть связано с тем, что в этом случае мой локальный билет Kerberos ни для чего не используется ...
Нестандартные (то есть созданные пользователями, "недолларовые") акции SMB - это интересно, в этих долларовых акциях должно быть что-то особенное ...

На всякий случай кому интересно - сами акции есть:

C:\development\ecd-vr>net share

Name         Ressource                       Description

-------------------------------------------------------------------------------
IPC$                                         Remote IPC
C$           C:\                             Default share
D$           D:\                             Default share
ADMIN$       C:\Windows                      Remote Admin
C            C:\

(Опять же, перевод с немецкого)

ACL тоже выглядят неплохо:

C:\Users\fnawothnig>icacls c:\
c:\ BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Users:(OI)(CI)(RX)
    NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
    NT AUTHORITY\Authenticated Users:(AD)
    Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)

(Опять переведено)

Вывод из whoami / groups не дает ничего необычного, что неудивительно, поскольку локально все работает в любом случае.

Общие SMB-ресурсы по умолчанию (то есть \ machine \ c $) дают диалоговое окно пароля, после ввода моих учетных данных диалоговое окно появляется снова (нормальное поведение для «Доступ запрещен»). Однако журнал безопасности показывает успешную аутентификацию.

Не знаю, как действовать дальше - буду благодарен за любые идеи ...

Вы не говорите, но я предполагаю, что вы используете учетную запись администратора домена для выполнения этих задач.

Похоже, что пользователь Rouge (с правами локального администратора) удалил группу администраторов домена из группы локальных администраторов. Есть несколько способов взлома реестра, которые также могут дать те же результаты, что вы описываете. Является ли основной пользователь этой рабочей станции «опытным пользователем»? Есть ли у них права локального администратора? Похоже ли они на тех пользователей, которые взломают собственную рабочую станцию?