2

リモート マシンで実行可能ファイルを実行するために WinRS を使用しています。その実行可能ファイルは、UNC ネットワーク共有にアクセスする必要があります。私はADを備えたWindowsネットワーク上で、問題のサーバーのマシン管理者であり、ネットワーク共有のフルコントロール(フォルダーと共有)を持つドメイン管理者アカウント(ローカルアカウントではない)としてすべてを実行しています。しかし、WinRS を使用してリモート プロセスを実行すると、そのリモート プロセスはネットワークにアクセスできないようです。私がそれを要約できる最も簡単な例は次のとおりです。

winrs -r:RedServer dir \\BlueServer\SomeSharedFolder

エラーを与える

アクセスが拒否されました。

これは正常に実行されるため、WinRS 自体は RedServer で動作することに注意してください。

winrs -r:RedServer dir C:

それで、それは権限の問題のように聞こえますよね?しかし、このアカウントが\\BlueServer\SomeSharedFolder共有を完全に制御できることを証明するために、同じアカウントで RedServer にログインし、コマンド プロンプトでこれを実行しました。

dir \\BlueServer\SomeSharedFolder

正常に実行され、そのフォルダーの内容が表示されました。エラーの原因となるのは、WinRS + UNC パスの組み合わせだけです。

別の方法で構成する必要があるものはありますか、またはこれは Windows の制限/セーフガードですか? Sysinternals の PsExec.exe でも同様の制限がありました。ターゲット マシン上のあらゆるものにアクセスできましたが、ネットワーク上には何もアクセスできませんでした。ちなみに、ここでやや関連する SO の質問を見つけました:「winrs を使用してマップされたドライブを作成するときにエラーが発生しました」が、そこには回答がありません。

4

1 に答える 1

5

あなたが説明しているのは、サポートするためにクライアントとサーバーで追加の構成を必要とするダブルホップシナリオです。ダブル ホップ シナリオでは、Windows サーバーにリモートでログインしてから、リモート ネットワーク共有にアクセスします。

client -> server -> file share

これは、 CredSSP または Kerberos delegationを介して実現できます。

CredSSP 認証は、Kerberos 委任を使用できない環境を対象としています。CredSSP のサポートが追加され、ユーザーがリモート サーバーに接続し、ファイル共有などのセカンド ホップ マシンにアクセスできるようになりました。

これらの手順を試したことはありませんが、開始するのに妥当な場所のようです。さらに、Travis Gan によるこのブログ投稿も役立つようです。

于 2015-06-30T05:58:20.093 に答える