WinRS 可以访问 UNC 路径吗?
Can WinRS access UNC paths?
我正在使用 WinRS 运行 远程计算机上的可执行文件。反过来,该可执行文件需要访问 UNC 网络共享。我在带有 AD 的 Windows 网络上,并且 运行 将所有内容都设置为域管理员帐户(不是本地帐户),该帐户是相关服务器的机器管理员,并且具有完全控制权(文件夹和共享)的网络共享。但是,当我使用 WinRS 运行 远程进程时,该远程进程似乎没有网络访问权限。我可以提炼出的最简单的例子是:
winrs -r:RedServer dir \BlueServer\SomeSharedFolder
给出了错误
Access is denied.
请注意,WinRS 本身可以在 RedServer 上运行,因为这 运行 没问题:
winrs -r:RedServer dir C:
所以,这听起来像是权限问题,对吧?但是为了证明这个帐户确实对 \BlueServer\SomeSharedFolder 共享具有完全控制权,我使用相同的帐户登录到 RedServer 并 运行 在命令提示符下:
dir \BlueServer\SomeSharedFolder
它 运行 很好,给我那个文件夹的内容。只有 WinRS + UNC 路径的组合导致错误。
是否需要我进行不同的配置,或者这是 Windows 的 limitation/safeguard?我在 Sysinternals 的 PsExec.exe 中遇到了类似的限制;我可以访问目标机器上的任何内容,但无法访问网络。顺便说一句,我在这里发现了一个有点相关的 SO 问题:“Error when creating mapped drive using winrs”,但那里没有答案。
您描述的是双跳方案,需要在客户端和服务器上进行额外配置才能支持。双跃点场景是远程登录到 Windows 服务器,然后访问远程网络共享:
client -> server -> file share
您可以通过 CredSSP or Kerberos delegation 完成此操作。
CredSSP authentication is intended for environments where Kerberos delegation cannot be used. Support for CredSSP was added to allow a user to connect to a remote server and have the ability to access a second-hop machine, such as a file share.
虽然我没有尝试过这些说明,但它们似乎是一个合理的起点。此外,Travis Gan 的 this blog post 似乎很有帮助。
我正在使用 WinRS 运行 远程计算机上的可执行文件。反过来,该可执行文件需要访问 UNC 网络共享。我在带有 AD 的 Windows 网络上,并且 运行 将所有内容都设置为域管理员帐户(不是本地帐户),该帐户是相关服务器的机器管理员,并且具有完全控制权(文件夹和共享)的网络共享。但是,当我使用 WinRS 运行 远程进程时,该远程进程似乎没有网络访问权限。我可以提炼出的最简单的例子是:
winrs -r:RedServer dir \BlueServer\SomeSharedFolder
给出了错误
Access is denied.
请注意,WinRS 本身可以在 RedServer 上运行,因为这 运行 没问题:
winrs -r:RedServer dir C:
所以,这听起来像是权限问题,对吧?但是为了证明这个帐户确实对 \BlueServer\SomeSharedFolder 共享具有完全控制权,我使用相同的帐户登录到 RedServer 并 运行 在命令提示符下:
dir \BlueServer\SomeSharedFolder
它 运行 很好,给我那个文件夹的内容。只有 WinRS + UNC 路径的组合导致错误。
是否需要我进行不同的配置,或者这是 Windows 的 limitation/safeguard?我在 Sysinternals 的 PsExec.exe 中遇到了类似的限制;我可以访问目标机器上的任何内容,但无法访问网络。顺便说一句,我在这里发现了一个有点相关的 SO 问题:“Error when creating mapped drive using winrs”,但那里没有答案。
您描述的是双跳方案,需要在客户端和服务器上进行额外配置才能支持。双跃点场景是远程登录到 Windows 服务器,然后访问远程网络共享:
client -> server -> file share
您可以通过 CredSSP or Kerberos delegation 完成此操作。
CredSSP authentication is intended for environments where Kerberos delegation cannot be used. Support for CredSSP was added to allow a user to connect to a remote server and have the ability to access a second-hop machine, such as a file share.
虽然我没有尝试过这些说明,但它们似乎是一个合理的起点。此外,Travis Gan 的 this blog post 似乎很有帮助。