locked
PsService e altri strumenti della SysInternalSuite non funzionano con Windows 7 Professional 64 bit RRS feed

  • Domanda

  • Ho usato con successo, su pc con Windows XP, alcuni utili strumenti della suite SysInternal su computer remoti come ad esempio il seguente comando:

        psservice \\nome_computer -u nome_computer\administrator -p password [query|start|stop] nome_servizio

    Da quando però ho Windows 7 Professional a 64 bit, mi da sempre l'errore:

    PsService v2.24 - Service information and configuration utility
    Copyright (C) 2001-2010 Mark Russinovich
    Sysinternals - www.sysinternals.com

    Error querying services on \\nome_computer:
    Accesso negato.

    Altri comandi invece continuano a funzionare.

    Come suggerito in rete, se inserisco il mio utente fra gli amministratori locali del computer remoto PsService funziona, ma non è purtroppo per me una soluzione praticabile e poi gli passo comunque le credenziali dell'amministratore locale.

    Chi mi sa indicare come risolvere il problema?

    Ciao,

      Marzio

    venerdì 22 gennaio 2016 15:35

Tutte le risposte

  • Ciao,

    il modello di sicurezza é cambiato da Vista in poi. Oltre a UAC, c'é un diverso contesto per la sessione 0 dove vengono eseguiti i servizi.

    Questo qui sotto lo hai gia provato?

    "PsExec from Vista to Vista, can it be done? 

    You wonder whether you may have any success using psexec from one Vista computer to another Vista computer? Maybe setting LocalAccountTokenFilterPolicy=1 will do the trick? Please read psexec from vista to vista. "

    REF: http://forum.sysinternals.com/topic15920.html    [FAQ #31]


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    venerdì 22 gennaio 2016 16:21
  • Ciao,

    ti ringrazio della risposta ma purtroppo non ho risolto.

    Continuo ad avere il messaggio di accesso negato. Per non saper né leggere né scrivere nel dubbio, ho impostato la chiave sia sul mio che su un altro computer di test, rigorosamente Windows 7 Pro a 64bit.

    Ho dato un'occhiata anche al topic suggerito ma non ho trovato nulla che si riferisse al mio S.O.

    Possibile davvero che non si possa più utilizzare?

    Marzio

    PS: non so se può aiutare qualcuno ma di seguito il risultato di un paio di comandi, sempre delle PsTools. Uno funziona, l'altro no.

    Se lancio il comando psfile, ottengo il risultato aspettato:

    psfile v1.02 - psfile
    Copyright ® 2001 Mark Russinovich
    Sysinternals

    Files opened remotely on nome_computer:

    [14] C:\\
        User:   Administrator
        Locks:  0
        Access: Read
    [99] C:\\
        User:   Administrator
        Locks:  0
        Access: Read
    [182] C:\\Users
        User:   Administrator
        Locks:  0
        Access: Read
    [282] C:\\Users\utente computer remoto
        User:   Administrator
        Locks:  0
        Access: Read
    [201327422] \srvsvc
        User:   utente locale
        Locks:  0
        Access: Read Write

    Se invece lancio il comando psinfo mi da l'errore seguente:

    PsInfo v1.77 - Local and remote system information viewer
    Copyright (C) 2001-2009 Mark Russinovich
    Sysinternals - www.sysinternals.com

    Connecting to nome_computer...Cannot connect to remote registry on nome_computer:
    Impossibile trovare il percorso di rete.
    Could not connect to GHz%c:
    Impossibile trovare il percorso di rete.

    martedì 26 gennaio 2016 12:38
  • Si puó utilizzare, sul mio w7 x64 funziona.

    Il servizio remote registry é avviato sul pc di destinazione? Ci sono firewall in mezzo o AV/Network protection ?


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli martedì 26 gennaio 2016 13:05
    martedì 26 gennaio 2016 13:05
  • Il servizio in effetti non era avviato. L'ho avviato ma ricevo lo stesso messaggio.

    Il firewal è disattivo, il mio pc e quello di test sono nella stessa sottorete. Ho disabilitato l'AV ma nulla.


    venerdì 29 gennaio 2016 11:15
  • Prova a fare un avvio pulito di entrambi i PC

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    venerdì 29 gennaio 2016 11:39
  • Aggiornamento...

    Ho provato a fare un avvio pulito del mio pc senza esito. L'altro è "pulito".

    Ho provato inoltre:

    - query di un pc con WXP e viceversa con successo

    - interrogo direttamente il mio computer dal mio computer con le credenziali di amministratore locale con successo

    - interrogo il pc di test (W7) con un utente che non si è mai connesso e mi risponde:

    "Errore durante l'accesso: nome utente sconosciuto o password non valida."

      quindi sul pc arriva, avevo qualche dubbio...

    Non so più che fare!

    martedì 2 febbraio 2016 11:01
  • ne log security del pc di test vedi il tentativo di login?

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    martedì 2 febbraio 2016 12:25
  • ne log security del pc di test vedi il tentativo di login?

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Sì, ci sono 4 eventi di origine "Microsoft Windows security auditing." tutti riusciti:

    "Controllo riuscito" 03/02/2016 15:11:26 "Microsoft Windows security auditing." 4672 Accesso speciale

    "Controllo riuscito" 03/02/2016 15:11:26 "Microsoft Windows security auditing." 4624 Accesso

    "Controllo riuscito" 03/02/2016 15:11:26 "Microsoft Windows security auditing." 4624 Accesso

    "Controllo riuscito" 03/02/2016 15:11:26 "Microsoft Windows security auditing." 4634 Disconnessione

    in ordine inverso.

    mercoledì 3 febbraio 2016 14:26
  • ne log security del pc di test vedi il tentativo di login?


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Sì, ci sono 4 eventi di origine "Microsoft Windows security auditing." tutti riusciti:

    "Controllo riuscito" 03/02/2016 15:11:26 "Microsoft Windows security auditing." 4672 Accesso speciale

    "Controllo riuscito" 03/02/2016 15:11:26 "Microsoft Windows security auditing." 4624 Accesso

    "Controllo riuscito" 03/02/2016 15:11:26 "Microsoft Windows security auditing." 4624 Accesso

    "Controllo riuscito" 03/02/2016 15:11:26 "Microsoft Windows security auditing." 4634 Disconnessione

    in ordine inverso.

    Scuasami ma poco più tardi si è "materializzato" un altro evento

    "Controllo riuscito" 03/02/2016 15:11:41 "Microsoft Windows security auditing." 4634 Disconnessione

    mercoledì 3 febbraio 2016 14:37
  • Controlla se l'auditing e' abilitato:

    auditpol /get /category:"Logon/Logoff"

    System audit policy
    Category/Subcategory                      Setting
    Logon/Logoff
      Logon                                   No Auditing
      Logoff                                  No Auditing
      Account Lockout                         No Auditing
      IPsec Main Mode                         No Auditing
      IPsec Quick Mode                        No Auditing
      IPsec Extended Mode                     No Auditing
      Special Logon                           No Auditing
      Other Logon/Logoff Events               No Auditing
      Network Policy Server                   No Auditing

    Se non lo e' come penso abilitalo e riprova:

    auditpol /set /category:"Logon/Logoff"
    The command was successfully executed.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli mercoledì 3 febbraio 2016 14:46
    mercoledì 3 febbraio 2016 14:46
  • Controlla se l'auditing e' abilitato:

    auditpol /get /category:"Logon/Logoff"

    System audit policy
    Category/Subcategory                      Setting
    Logon/Logoff
      Logon                                   No Auditing
      Logoff                                  No Auditing
      Account Lockout                         No Auditing
      IPsec Main Mode                         No Auditing
      IPsec Quick Mode                        No Auditing
      IPsec Extended Mode                     No Auditing
      Special Logon                           No Auditing
      Other Logon/Logoff Events               No Auditing
      Network Policy Server                   No Auditing

    Se non lo e' come penso abilitalo e riprova:

    auditpol /set /category:"Logon/Logoff"
    The command was successfully executed.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    Ho la versione italiana e quindi il comando che ho eseguito è stato:

    auditpol /get /category:"Accesso/Fine sess."

    ricevendo la seguente risposta

    Criteri di controllo di sistema
    Categoria/Sottocategoria                  Impostazione
    Accesso/fine sess.
      Accesso                                 Operazione riuscita
      Disconnessione                          Operazione riuscita
      Blocco account                          Operazione riuscita
      Modalità principale IPSec               Nessun controllo
      Modalità rapida IPSec                   Nessun controllo
      Modalità estesa IPSec                   Nessun controllo
      Accesso speciale                        Operazione riuscita
      Altri eventi di accesso/fine sessione   Nessun controllo
      Server dei criteri di rete              Esito positivo e negativo


    Quindi è attivo.

    giovedì 4 febbraio 2016 08:20
  • Allora mi sa che la riciesta di autenticazione non gli arriva

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 4 febbraio 2016 09:22
  • Allora mi sa che la riciesta di autenticazione non gli arriva

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Ma i 5 eventi "riusciti" cosa dicono? Sembrerebbe che arrivi.

    Li ho salvati, se sono di aiuto, potrei allegarli ma non vedo come fare. Incollo direttamente il contenuto?

    Ciao

    giovedì 4 febbraio 2016 10:21
  • dovrebbe dire che tipo di logon e' (tipo 3 e' logon dalla rete).

    Ti consiglio di effettuare la prova su una macchina dove sai che funziona, vedi che evento registra e lo compari con quelli che hai


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 4 febbraio 2016 10:24
  • dovrebbe dire che tipo di logon e' (tipo 3 e' logon dalla rete).

    Ti consiglio di effettuare la prova su una macchina dove sai che funziona, vedi che evento registra e lo compari con quelli che hai


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Sì, indica il tipo 3.

    L'uniche macchine dove funziona sono quelle con WXP.

    Ho provato altre 5 macchine, nella mia stessa sotto rete,  con W7 64bit tutte purtroppo con lo stesso esito.

    Ci deve essere qualche policy che ci blocca...

    Perché su tra XP e 7 funziona senza problemi?


    giovedì 4 febbraio 2016 11:58
  • Se il logon arriva e ti da utente o password errata direi che non e' piu' un problema di rete ma di autenticazione, il logon fa riferimento al computer da dove hai provato o all'utente?

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 4 febbraio 2016 12:07
  • Se il logon arriva e ti da utente o password errata direi che non e' piu' un problema di rete ma di autenticazione, il logon fa riferimento al computer da dove hai provato o all'utente?

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Non ho chiara la domanda.

    Se intenzionalmente dò una password sbagliata, mi dice

        Errore durante l'accesso: nome utente sconosciuto o password non valida.

    quindi arriva.

    Quando chiedi del logon, non capisco cosa mi chiedi.

    giovedì 4 febbraio 2016 13:14
  • Intendo l'evento del logon, di solito dice da che computer proviene e quale utente lo ha effettuato

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli giovedì 4 febbraio 2016 13:15
    giovedì 4 febbraio 2016 13:15
  • Intendo l'evento del logon, di solito dice da che computer proviene e quale utente lo ha effettuato

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    Sempre nel registro Sicurezza? Se ti riferisci a quegli eventi, quei due con ID 4624 te li riporto di seguito.

    Il primo accaduto:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
     <System>
      <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
      <EventID>4624</EventID>
      <Version>0</Version>
      <Level>0</Level>
      <Task>12544</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8020000000000000</Keywords>
      <TimeCreated SystemTime="2016-02-03T14:11:26.550148100Z" />
      <EventRecordID>42048</EventRecordID>
      <Correlation />
      <Execution ProcessID="588" ThreadID="4120" />
      <Channel>Security</Channel>
      <Computer>Nome Computer Test</Computer>
      <Security />
     </System>
     <EventData>
      <Data Name="SubjectUserSid">S-1-0-0</Data>
      <Data Name="SubjectUserName">-</Data>
      <Data Name="SubjectDomainName">-</Data>
      <Data Name="SubjectLogonId">0x0</Data>
      <Data Name="TargetUserSid">S-1-5-21-2486424672-2400214150-3779847014-500</Data>
      <Data Name="TargetUserName">Administrator</Data>
      <Data Name="TargetDomainName">Nome Computer Test</Data>
      <Data Name="TargetLogonId">0x15ea9a7</Data>
      <Data Name="LogonType">3</Data>
      <Data Name="LogonProcessName">NtLmSsp</Data>
      <Data Name="AuthenticationPackageName">NTLM</Data>
      <Data Name="WorkstationName">Nome Computer origine richiesta</Data>
      <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
      <Data Name="TransmittedServices">-</Data>
      <Data Name="LmPackageName">NTLM V2</Data>
      <Data Name="KeyLength">128</Data>
      <Data Name="ProcessId">0x0</Data>
      <Data Name="ProcessName">-</Data>
      <Data Name="IpAddress">10.200.2.52</Data>
      <Data Name="IpPort">55234</Data>
     </EventData>
    </Event>

    e il secondo:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
     <System>
      <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
      <EventID>4624</EventID>
      <Version>0</Version>
      <Level>0</Level>
      <Task>12544</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8020000000000000</Keywords>
      <TimeCreated SystemTime="2016-02-03T14:11:26.643747500Z" />
      <EventRecordID>42049</EventRecordID>
      <Correlation />
      <Execution ProcessID="588" ThreadID="4120" />
      <Channel>Security</Channel>
      <Computer>Nome Computer Test</Computer>
      <Security />
      </System>
     <EventData>
      <Data Name="SubjectUserSid">S-1-0-0</Data>
      <Data Name="SubjectUserName">-</Data>
      <Data Name="SubjectDomainName">-</Data>
      <Data Name="SubjectLogonId">0x0</Data>
      <Data Name="TargetUserSid">S-1-5-21-1799805953-2109825879-450050727-6654</Data>
      <Data Name="TargetUserName">utente Computer Test</Data>
      <Data Name="TargetDomainName">nome dominio</Data>
      <Data Name="TargetLogonId">0x15ea9bc</Data>
      <Data Name="LogonType">3</Data>
      <Data Name="LogonProcessName">NtLmSsp</Data>
      <Data Name="AuthenticationPackageName">NTLM</Data>
      <Data Name="WorkstationName">Nome Computer origine richiesta</Data>
      <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
      <Data Name="TransmittedServices">-</Data>
      <Data Name="LmPackageName">NTLM V1</Data>
      <Data Name="KeyLength">128</Data>
      <Data Name="ProcessId">0x0</Data>
      <Data Name="ProcessName">-</Data>
      <Data Name="IpAddress">10.200.2.52</Data>
      <Data Name="IpPort">55236</Data>
     </EventData>
    </Event>

    Spero che ti possano essere di aiuto.

    giovedì 4 febbraio 2016 13:53
  • erano quelli che intendevo.

    Il logon sembra essere quello, non ho altri suggerimenti, se mettendo il tuo utente tra i local admin funziona forse e' l'unica soluzione.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 4 febbraio 2016 15:00
  • erano quelli che intendevo.

    Il logon sembra essere quello, non ho altri suggerimenti, se mettendo il tuo utente tra i local admin funziona forse e' l'unica soluzione.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Per prima cosa ti dico che ho provato da un portatile W7 32bit, al quale mi ero connesso come amministratore locale, ottenendo un inaspettato successo!

    Ho provato poi quanto mi hai indicato ed ha funzionato. Questa però non è una soluzione perccorribile in quanto dovrei inserire diversi account nel gruppo Administrators di un migliaio di computer!!!

    Il problema è legato a delle policy? C'è la possibilità di "alleggerire" tale eventuale "blocco"? Perché con W7 32bit funziona senza dover aggiungere l'utente al gruppo administrators del computer remoto?

    Ciao,

      Marzio

    venerdì 5 febbraio 2016 13:19
  • Non saprei, se avessi questo tipo di problema proverei ad utilizzare processmonitor e network monitor per il troubleshooting. Credo peró che la differenza di risultato non abbia a che fare con l'architettura del PC, deve essere qualcos'altro.

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    venerdì 5 febbraio 2016 13:55
  • Non saprei, se avessi questo tipo di problema proverei ad utilizzare processmonitor e network monitor per il troubleshooting. Credo peró che la differenza di risultato non abbia a che fare con l'architettura del PC, deve essere qualcos'altro.

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    Scusa ma sono stato assente.

    Purtroppo non so come utilizzare i due prodotti che mi hai indicato e il problema rimane tutt'ora.

    Spero a breve di poter utilizzare un altro computer installandolo ex novo con tutti i sw necessari verificando ogni volta se PsService funziona o meno fino alla messa in dominio.

    venerdì 19 febbraio 2016 14:25