none
Active Directoryに参加しているWindows7でPsExec実行時、同一ADのWindows10へのアクセスが拒否される RRS feed

  • 質問

  • はじめて質問させていただきます。よろしくお願いいたします。

    社内環境で、Active Directory(以下、AD)に参加しているPC(windows7)にてPsExec(以下コマンド)実行時、同一ADのPC(windows10)へのアクセスが拒否されます。

    (コマンド)
    psexec \\(IPアドレス) -u (PC名)\(ユーザ名) -p (パスワード) "ipconfig"

    (結果)

    PsExec v2.2 - Execute processes remotely
    Copyright (C) 2001-2016 Mark Russinovich
    Sysinternals - www.sysinternals.com

    Couldn't access 150.20.27.153:
    アクセスが拒否されました。

    windows10側での設定は以下のとおりです。http://win-enikki.blogspot.jp/2016/12/psexec.html を参考にさせていただきました。

    1. FW許可

    セキュリティが強化されたWindowsファイアウォール > 受信の規則 より、以下を全て有効化

    ファイルとプリンタの共有(エコー要求 ICMPv4受信)プライベート、パブリック
    ファイルとプリンタの共有(エコー要求 ICMPv4受信)ドメイン
    WindowsManagementInstrumentation(DCOM受信) プライベート、パブリック
    WindowsManagementInstrumentation(DCOM受信)ドメイン
    WindowsManagementInstrumentation(WMI受信) プライベート、パブリック
    WindowsManagementInstrumentation(WMI受信)ドメイン
    WindowsManagementInstrumentation(非同期受信) プライベート、パブリック
    WindowsManagementInstrumentation(非同期受信)ドメイン
    リモートサービス管理(NP受信) プライベート、パブリック
    リモートサービス管理(NP受信) ドメイン
    リモートサービス管理(RPC) プライベート、パブリック
    リモートサービス管理(RPC) ドメイン
    リモートサービス管理(RPC-EPMAP) プライベート、パブリック
    リモートサービス管理(RPC-EPMAP) ドメイン

    2. リモートUAC解除

    コマンドプロンプトを管理者権限で起動し、以下コマンドを実行

    REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

    試しにADに参加していないPC(Win7)から同じコマンドを打つと、ipconfigが正常に実行されました。
    また、逆にADに参加しているPC(Win7)から参加していないPC(Win7)へのアクセスも許可されました。
    まとめると、

    ①ADありPC(Win7) -> ADありPC(Win10)    ×(アクセス拒否)
    ②ADありPC(Win7) -> ADなしPC(Win7)    ○
    ③ADなしPC(Win7) -> ADありPC(Win10)    ○

    という状況です。

    ・psexecのオプション引数(-c, -f, -hなど)
    ・psexecのユーザ指定((ドメイン名)\(ユーザ名)など)

    いろいろ試行錯誤していますが、①がうまくいきません。
    ADの設定で弾かれていると考えられますが、被アクセス側のWin10の設定で、何かアドバイスいただけないでしょうか?
    恐れ入りますがよろしくお願いいたします。
    2017年8月22日 4:50

回答

  • チャブーンです。

    この件ですが、psexec.exeで指定するドメインユーザーを「Domain Admins」グループのメンバーに追加する、でひとまず動くのではないでしょうか。

    psexec.exeにリモートでアクセスする場合、<相手ホスト名>\IPC$ という管理共有にアクセスするのですが、ここには管理者権限のアカウントでしか、アクセスできません。ドメイン環境では「Domain Admins」グループのユーザーが相当しますので、そのユーザーを指定する必要があります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年8月22日 6:51