2018-02-13
231
Работая на удаленных компьютерах, утилиты PsTools являются олицетворением учетной записи, из которой Вы выполняете утилиту на локальной системе. Если это работает с локальной учетной записью, а не с доменной учетной записью, аутентификация может успешно выполниться, только если у удаленного компьютера также есть локальная учетная запись с тем же самым именем пользователя и паролем.
Есть несколько причин, что Вы могли бы хотеть выполнить утилиту с различной учетной записью в удаленной системе. Во-первых, большинство утилит требует административных полномочий на целевой системе, таким образом, Вы должны использовать различную учетную запись, если у того, который Вы используете, нет тех полномочий. Во-вторых, поскольку я буду обсуждать коротко в "Поиске и устранении неисправностей Удаленный раздел" Соединений PsTools, ограничения были представлены в Windows Vista на использовании локальных учетных записей за удаленное администрирование. Наконец, есть несколько причин, которые принадлежат только PsExec; те обсуждаются в разделе "PsExec" этой главы.
|
|
|
Чтобы использовать различную учетную запись пользователя, определите это с -u параметром командной строки, и дополнительно определите пароль учетной записи с -p параметром. Например.
Если Вы опустите-p, то утилита запросит Вас пароль.
Для соображений безопасности это не будет повторять символы пароля на экран, поскольку Вы вводите их. Утилиты используют API WNetAddConnection2, таким образом, пароли не отправляются по сети в четком, чтобы аутентифицировать к удаленным системам. (Однако, в некоторых случаях PsExec должен отправить учетные данные после аутентификации, чтобы создать новый сеанс входа в систему; в этом случае учетные данные отправляются незашифрованные.)
Все PsTools поддерживают -u и -p параметры командной строки за исключением PsLoggedOn.
Поиск и устранение неисправностей Удаленных Соединений PsTools.
Много наборов и кнопок должны быть установлены только прямо для PsTools работать над удаленными системами. Очевидно, они все требуют связи к необходимым сетевым интерфейсам, которая включает настройки брандмауэра и гарантируя, что службы работают. Большинство утилит требует административных прав. И наконец, Управление Учетной записью пользователя (UAC) вводит ограничения на локальные учетные записи, которые должны быть учтены.
Основная Связь.
Если Вы не определяете IP-адрес, разрешение имени должно работать. Если DNS не доступен, NetBIOS по TCP (NBT) мог бы быть достаточным, но это требует, чтобы 137 UDP, 137 TCP, 138 UDP, и 139 TCP были открыты на брандмауэре целевой системы.
Некоторые из утилит требуют, чтобы административная доля Admin$ была доступна. Это требует, чтобы файл и печать, совместно использующая, были включены (служба Рабочей станции локально и служба Сервера на целевую систему), что брандмауэр не блокирует порты, которые необходимы, чтобы поддерживать файл и совместное использование принтера, и также что "простой файл, совместно использующий" быть отключенными.
|
|
|
Некоторые из утилит требуют, чтобы Удаленная служба Реестра работала на целевой системе. (Таблица в конце главы приводит, которые требуют этой функции.) Отмечают, что в более новых версиях Windows, эта служба не конфигурируется для автоматического запуска по умолчанию.
Это поэтому должно быть вручную запущено или сконфигурировано для автоматического запуска прежде, чем некоторые из этих инструментов будут работать.
