WinRS peut-il accéder aux chemins UNC?

J’utilise WinRS pour exécuter un exécutable sur une machine distante. Cet exécutable, à son tour, doit accéder à un partage réseau UNC. Je suis sur un réseau Windows avec AD, et j’exécute tout en tant que compte administrateur de domaine (pas un compte local) qui est un administrateur de la machine des serveurs en question et qui dispose du contrôle total (dossier et partage) du partage réseau. Mais lorsque j’utilise WinRS pour exécuter un processus distant, ce processus distant ne semble pas avoir d’access au réseau. L’exemple le plus simple que je puisse en tirer est:

winrs -r:RedServer dir \\BlueServer\SomeSharedFolder 

qui donne l’erreur

L’access est refusé.

Notez que WinRS lui-même fonctionne sur RedServer, car cela fonctionne correctement:

 winrs -r:RedServer dir C: 

Donc, cela ressemble à un problème de permissions, non? Mais pour prouver que ce compte dispose d’un contrôle total sur le \\BlueServer\SomeSharedFolder , je me suis connecté à RedServer avec ce même compte et l’ai exécuté à l’invite de commande:

 dir \\BlueServer\SomeSharedFolder 

Cela s’est bien passé, me donnant le contenu de ce dossier. C’est uniquement la combinaison du chemin WinRS + UNC qui provoque des erreurs.

Y a-t-il quelque chose que je dois configurer différemment ou s’agit-il d’une limitation / protection de Windows? J’ai rencontré une limitation similaire avec PsExec.exe de Sysinternals; Je pouvais accéder à tout sur la machine cible, mais rien sur le réseau. Incidemment, j’ai trouvé une question SO quelque peu liée ici: ” Erreur lors de la création d’un lecteur mappé en utilisant winrs “, mais pas de réponses.

Ce que vous décrivez est un scénario à double saut nécessitant une configuration supplémentaire sur le client et le serveur à prendre en charge. Un scénario à double bond se connecte à distance à un serveur Windows, puis accède à un partage réseau distant:

client -> server -> file share

Vous pouvez le faire via la délégation CredSSP ou Kerberos .

L’authentification CredSSP est destinée aux environnements dans lesquels la délégation Kerberos ne peut pas être utilisée. La prise en charge de CredSSP a été ajoutée pour permettre à un utilisateur de se connecter à un serveur distant et d’accéder à un ordinateur de deuxième saut, tel qu’un partage de fichiers.

Bien que je n’ai pas essayé ces instructions, elles semblent être un endroit raisonnable pour commencer. En outre, cet article de Travis Gan semble utile.