WinRS可以访问UNC路径吗？

Question

我使用WinRS在远程机器上运行可执行文件。反过来，该可执行文件需要访问UNC网络共享。我使用AD在Windows网络上运行所有内容，作为域管理帐户(而不是本地帐户)运行，该帐户是所讨论的服务器的计算机管理，并且具有网络共享的完全控制(文件夹和共享)。但是，当我使用WinRS运行远程进程时，该远程进程似乎没有网络访问权限。最简单的例子是，我可以把它归结为：

winrs -r:RedServer dir \\BlueServer\SomeSharedFolder

这给出了错误

访问被拒绝。

请注意，WinRS本身在RedServer上工作，因为它运行得很好：

winrs -r:RedServer dir C:

听起来像是权限问题，对吧？但是，为了证明该帐户对\\BlueServer\SomeSharedFolder共享具有完全控制权，我使用相同的帐户登录到RedServer，并在命令提示符下运行该帐户：

dir \\BlueServer\SomeSharedFolder

它运行得很好，给了我文件夹的内容。只有WinRS + UNC路径的组合才会导致错误。

我是否需要以不同的方式配置某些东西，或者这是Windows的限制/保护？我在Sysinternals的PsExec.exe上也经历了类似的限制；我可以访问目标机器上的任何东西，但网络上没有任何东西。顺便说一句，我在这里发现了一个有点相关的问题："使用winrs创建映射驱动器时出错"，但没有答案。

Answer 1

您所描述的是一个双跳场景，需要在客户端和服务器上进行额外的配置才能支持。双跳方案是远程登录到Windows服务器，然后访问远程网络共享：

client -> server -> file share

您可以通过CredSSP或Kerberos委托完成这一任务。

CredSSP身份验证适用于无法使用Kerberos委托的环境。增加了对CredSSP的支持，使用户能够连接到远程服务器，并能够访问第二跳计算机，例如文件共享。

虽然我还没有试过这些说明，但它们似乎是一个合理的起点。另外，特拉维斯·甘( Travis )的这篇博客文章似乎很有帮助。