У меня есть приложение COM, созданное локальной службой Windows, с помощью которого я хотел бы получить доступ к общему сетевому ресурсу. Для этого я просто попытался настроить свой COM-сервер для работы в качестве пользователя домена с доступом к этому общему ресурсу: я перехожу в консоль dcomcnfg, нахожу свой сервер в папке Console Root \ Component Services \ DCOM Config, щелкаю правой кнопкой мыши, чтобы «Свойства», перейдите на вкладку «Удостоверение» и укажите пользователя домена для параметра «Этот пользователь». Когда я делаю это в сети моей собственной компании, это прекрасно работает. Однако когда пользователь пробует его в своей сети, он получает:
"Ошибка каталога
Ошибка при обработке последней операции на удаленном компьютере DOMAIN. Код ошибки 80070569 - Ошибка входа в систему: пользователю не предоставлен запрошенный тип входа в систему на этом компьютере ».
где DOMAIN - это имя домена клиента. Пользователь домена находится в группе «Администраторы» на локальном ПК и должен иметь все необходимые разрешения для входа в систему. Я предполагаю, что это проблема их доменных политик, но сетевое администрирование - не моя область знаний. Кто-нибудь точно знает, какие привилегии домена нужны пользователю домена для того, чтобы это работало? Спасибо.
Прежде всего, позвольте заявить, что для каждого участника безопасности в Active Directory существует множество различных типов входа в систему: интерактивный, сетевой, пакетный, сервисный и т. Д.
Принципы безопасности можно разрешить или запретить практически для любого типа входа в систему с помощью групповой политики. Точные настройки можно найти здесь: Конфигурация> Настройки Windows> Настройки безопасности> Локальные политики> Параметры безопасности.
Чтобы убедиться, что GP действительно вызывает ваши проблемы, я предлагаю запустить эту консольную команду
gpresult /h filename.html
С этими данными вам, вероятно, следует связаться с администраторами домена и попросить их о помощи, мало что можно сделать, чтобы переопределить GP домена с локальным административным доступом. По крайней мере, не на постоянной основе.
В качестве обходного пути вы можете попробовать вернуться к использованию локальной системной учетной записи в качестве контекста безопасности для вашего приложения. На самом деле он может получить доступ к сетевым ресурсам в домене, но делает это через учетную запись AD компьютера (Domain \ computername $), поэтому для объекта компьютера AD в вашем сетевом ресурсе должны быть предоставлены соответствующие разрешения.