Autorisations requises pour manipuler les services Windows à distance sur un autre ordinateur lié à un groupe de travail

3

Je sais qu'il y a beaucoup de questions similaires à celles-ci, mais toutes utilisent la syntaxe suivante pour se connecter:

runas /netonly /user:[Domain]\[Account on Domain with Administrator access] 
[Program]

Je dois démarrer / arrêter les services à distance à partir d'un autre ordinateur lié à un groupe de travail. Mon problème est que mon ordinateur n'est pas lié via une structure de domaine que la syntaxe semble impliquer. L'utilisation de cette opération ouvre le programme (par exemple, cmd), mais l'exécution sc \\[Domain\Machine] querysur l'instance ouverte de cmd.exe ne fonctionne pas, ce qui donne l' erreur d' accès refusé .

Une autre alternative que j'ai trouvée ailleurs dans StackOverflow est

net use \\[Machine IP/Host name]\IPC$ user:[Account on Machine with 
Administrator Access] [Password]
sc \\[Machine] [Command]

Dans le second cas, la première ligne fonctionne si je saisis correctement les informations d'identification du compte, à condition que le même compte ne soit utilisé par personne d'autre sur la machine distante ...

Mais la deuxième ligne échoue en donnant le même accès refusé à l'erreur que précédemment. Je suis à bout de ressources pour résoudre ce problème.

Curieusement, la situation exacte ne semble pas du tout être traitée ailleurs sur Internet, et personne ne s'est plaint de l'exigence de pouvoirs qui l'empêchent d'utiliser scou net startpar exemple à distance. Presque toutes les questions sur SO concernent la syntaxe exacte.

Le seul problème que je peux identifier est si mon ordinateur est connecté dans une structure de groupe de travail plutôt que dans le domaine . Quel est le vrai problème?

EDIT : Un point important à noter est que lorsque je dis sc \ [Machine] start [Service] et que je donne le nom d’un service inexistant dans la syntaxe, le message d’erreur ressemble à quelque chose comme service n’existe pas en tant que service installé , mais si j'entre le nom d'un service valide, l'erreur est Accès refusé .

EDIT 2 : Cela a fonctionné après la désactivation complète du contrôle d’accès utilisateur. Je suppose que ce n'est pas le moyen le plus sûr de le faire. Existe-t-il des alternatives avec UAC activé?

EDIT 3 : Je pense que cela a à voir avec l’obtention de privilèges d’administration sur la machine distante avec cmd. Comment puis-je atteindre cet objectif dans la ligne de commande?

windows networking permissions remote-desktop hrshi1990
la source

Réponses:

4

OK, j'ai trouvé le problème. Apparemment, du moins dans Windows 8, 8.1 et Windows Server 2008, le contrôle de compte d'utilisateur limite les privilèges d'administrateur exigeant des modifications des administrateurs locaux par défaut .

La seule raison pour laquelle je peux imaginer cela est que si un utilisateur connecté à une machine distante connectée à un groupe de travail possède des informations d'identification identiques (ID et mot de passe) à celles de son ordinateur personnel, l'utilisateur distant est autorisé à effectuer des modifications en ligne de commande avec des privilèges administratifs, malgré ce n'est probablement pas l'intention du gars qui contrôle l'ordinateur à la maison.

Cela signifie donc probablement, pour des raisons de sécurité, qu'un filtre supplémentaire a été introduit pour limiter ces activités à l'administrateur local uniquement.

C'est donné ici ... https://serverfault.com/questions/111007/having-trouble-using-psservice-and-sc-exe-between-windows-server-2008-machines

c'est à dire la mise 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\
LocalAccountTokenFilterPolicy] = 1

dans le registre est susceptible de résoudre le problème après le redémarrage de l'ordinateur. Considérant qu'il s'agit d'un problème si courant, du moins parmi les ordinateurs liés à un groupe de travail, je ne sais pas pourquoi cette solution n'est pas plus facilement accessible sur le net.

hrshi1990
la source
3
Pour Windows Server, le correctif fonctionne sans redémarrer
admax
0

Avec les groupes de travail, vous demandez des informations à l’ordinateur qui gère la fonction "navigateur". Cela ne met pas à jour en temps réel et peut donc être très aléatoire. Si vous utilisez le même nom d'utilisateur et le même mot de passe localement que l'ordinateur que vous administrez, vous devriez être d'accord car la demande est traitée sans le navigateur.

Glen
la source
Le problème est qu'il ne semble tout simplement pas se connecter ... lorsque vous faites une requête sc, la réponse est: l'accès est refusé ... il y a quelque chose qui ne va pas dans ma procédure, cela fonctionne très bien après la désactivation du contrôle de compte d'utilisateur, mais sans 't.
hrshi1990
Vous devriez donc avoir accès à votre ordinateur distant avec un compte administrateur. Le compte administrateur doit avoir un UAC inférieur à celui d'un compte utilisateur / utilisateur. Vous utilisez ce compte uniquement lorsque vous effectuez des tâches d'administration.
Glen
J'ai tout essayé ... J'ai trouvé le problème, c'est un problème lié au contrôle de compte d'utilisateur (UAC) pour l'accès administratif sur le réseau. Il semble, du moins dans Windows 8, 8.1, que l'accès aux comptes d'administrateurs locaux soit restreint par défaut. Même si le réseau a un administrateur, l'accès lui est refusé. Comment le faire passer est mentionné ici serverfault.com/questions/111007/…
hrshi1990