שאלה PsExec ו- Windows 2008 R2: 'הגישה נדחתה'


הנה התרחיש שלי:

אני מנסה להפעיל מרחוק ולעצור אתרי IIS 7.0 בשרת שלי מהמכשיר המקומי שלי, באמצעות PsExec.

כמה נקודות חשובות:

  • מכונה מקומית פועלת Windows Vista.
  • שרת פועל Windows 2008 R2.
  • כל מכונה פועלת תחומים שונים.
  • יש חד-כיווני מהתחום של המחשב המקומי שלי לתחום השרת שלי.
  • PsExec הוא באמצעות חשבון מנהל תחום, שאומתה כמנהל מקומי במחשב השרת.
  • המכונה המקומית מפנה את השרת באמצעות כינוי; הוא אינו משתמש בשם האמיתי של השרת.

אני משתמש בפקודה:

"C:\Program Files\PSTools\psexec.exe" \\(server-alias) -u (server-domain)\(domain-admin) -p (password) C:\Windows\System32\inetsrv\appcmd.exe stop site "Default Web Site"

פעולה זו מחזירה את השגיאה:

PsExec v1.94 - Execute processes remotely
Copyright (C) 2001-2008 Mark Russinovich
Sysinternals - www.sysinternals.com
Could not start PsExec service on (server-alias):
Access is denied.

וכמה הערות לפתרון בעיות חשוב:

  • פקודה זו עובד כאשר להורג ממכונה אחרת (Windows 2003 R2) בתחום השרת. (דומיין פנימי)
  • פקודה זו גם עובד כאשר להורג נגד מכונה אחרת פועל Windows 2003 R2 מהמכשיר המקומי שלי; ששניהם נמצאים בתחומים שונים. (אינטר-דומיין)
  • באמצעות אותו פקודת PsExec למעט עם פינג במקום appcmd.exe נכשל.
  • הפקודה הופעלה משורת הפקודה באמצעות "הפעל כמנהל מערכת".
  • מפתח הרישום השבתה הוגדר בשרת כדי לאפשר כינויים לשמש.
  • מפתח הרישום LocalAccountTokenFilterPolicy = 1 הוגדר בשרת ובמחשב המקומי.
  • Windows Firewall אינו פועל בשרת.
  • UAC אינו זמין במחשב המקומי.
  • UAC פעיל בשרת.
  • ל- UAC יש "מצב אישור מנהל" מושבת בשרת; זה מותר לפקודה לעבוד בתוך תחום (בניגוד בין דומיין).

נראה שזה סימן לכך בעיה ספציפית ל- Windows 2008 R2 אשר קשור בהגדרת האבטחה, כנראה לאורך דומיין או הרשאות ניהול. עם זאת, אני מתוך רעיונות. כל ההצעות ייתכן שיהיה מוערך!


6
2017-08-13 14:09






תשובות:


לקח לי שעות למצוא דרך פועלת PsExec בין 2 חלונות 7 מחשבים עם משתמשים שאינם Admin החל PsExec ... השבתת UAC (EnableLUA = 0, ConsentPromptBehaviorAdmin = 0, LocalAccountTokenFilterPolicy = 1) לא עבד, מכבה את חומות אש עשה לא עובד...

הנה מצאתי את הדרך עובד - תודה JelmerS: (מידע מ PSexec אינו מתחבר למכונה באמצעות שם משתמש וסיסמה שסופקו)

הסיבה לכך היא כי psexec עדיין מנסה לגשת למניה ADMIN $ עם אישורי המקומי שלך, לפני ביצוע הפקודה שלך כמשתמש אחר. לפי פתיל זה, ניתן לשמור את פרטי הכניסה במטמון לפני ביצוע psexec: cmdkey.exe / להוסיף: MACHINE_NAME_HERE / משתמש: מנהל \ MACHINE_NAME_HERE / לעבור: PASSWORD_HERE psexec.exe \ MACHINE_NAME_HERE-i Notepad cmdkey.exe / מחיקה: MACHINE_NAME_HERE

בברכה, פיטר


3
2018-02-26 15:48





האם אתה מפעיל PSEXEC משורת הפקודה מוגבה על תחנת העבודה שלך Vista? האם הגדרת את LocalAccountTokenFilterPolicy = 1? ראה שאלות נפוצות: בעיות נפוצות PSTools 


1
2017-08-13 15:16



כן, קבעתי את שניהם. - David Elner


אין לי סביבה דומה לבדוק ממנה, אבל מה אני יכול להמליץ ​​על זה: בדומיין הלקוח, הגדר סקריפטים אצווה (.bat), אחד עבור כל אתר שברצונך להפעיל מחדש. (אני אקרא להם "restart_site-sitename.bat"). ליצור אחד עבור כל תחום ולשמור את כולם על ספרייה בשרת ניהול בתחום זה (שם אני שם את כלי sysad שלי, שבו אני יכול לנהל הכל במקרה שמשהו קורה למחשב הנייד שלי), כולל PSExec במדריך זה.

psexec.exe \\(server-alias) C:\Windows\System32\inetsrv\appcmd.exe stop site "WebsiteName"

עכשיו לנסות להפעיל psexec לשרת ניהול, קורא אחד מאותם קבצי אצווה במקום.

"C:\Program Files\PSTools\psexec.exe" \\(server-alias) -u (server-domain)\(domain-admin) -p (password) C:path\to\psexec_and_scripts\restart_site-sitename.bat"

0
2017-10-05 12:28



אני יודע שזה נראה מבלבל, אבל לנסות את זה. - gWaldo