Столкнулся с тем, что не удается удаленно подключиться к дефолтным административным шарам (которые с долларом) на компьютере с Windows 10 под пользователем, входящим в группу локальных администраторов. Причем под учетной записью встроенного локального администратора (по умолчанию она отключена) такой доступ работает.
Немного подробнее как выглядит проблема. Пытаюсь с удаленного компьютера обратится к встроенным административным ресурсам компьютера Windows 10, состоящего в рабочей группе (при отключенном фаерволе) таким образом:
- \\win10_pc\C$
- \\win10_pc\D$
- \\win10_pc\IPC$
- \\win10_pc\Admin$
В окно авторизации ввожу имя и пароль учетной записи, состоящей в группе локальных администраторов Windows 10, на что появляется ошибка доступа (Access is denied). При этом доступ к общим сетевым каталогам и принтерам на Windows 10 работает нормально. Доступ под встроенной учетной записью administrator к административным ресурсам при этом тоже работает. Если же этот компьютер включить в домен Active Directory, то под доменными аккаунтами с правами администратора доступ к админским шарам также не блокируется.
Дело в еще одном аспекте политики безопасности, появившемся в UAC – так называемом Remote UAC (контроль учетных записей для удаленных подключений), который фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ таким учеткам. При доступе под доменным аккаунтом такое ограничение не налагается.
Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy
- Откройте редактор реестра (regedit.exe)
- Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy
- Установите значение параметра LocalAccountTokenFilterPolicy равным 1
- Для применения изменений потребуется перезагрузить компьютер
Примечание. Создать указанный ключ можно всего одной командой
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f
После загрузки попробуйте удаленно открыть каталог административный каталог C$ на Windows 10 компьютере. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов. Должно открыться окно проводника с содержимым диска C:\.
Итак, мы разобрались как с помощью параметра LocalAccountTokenFilterPolicy разрешить удаленный доступ к скрытым админ-ресурсам для всех локальных администраторов компьютера Windows. Данная инструкция применима также к Windows 8.x, 7 и Vista.
В стандартном наборе GPO этот параметр присутствует?
Насколько мне известно — такой политики нет. Можно конечно отключить ее политикой User Account Control: Run all administrators in Admin Approval Mode, но это затрагивает и локальны настройки UAC.
Да и по логике не нужна для этого отдельная политика — в рабочей группе доменная GPO не сильна 🙂
Ну еще не забыть, чтобы адм шары в принципе были включены:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
«AutoShareWks»=dword:00000001
«AutoShareServer»=dword:00000001
Антон, красава!
Чтобы на 10-ке корректно открывался доступ к административным ресурсам компьютера нужно в панели управления сделать следующее:
Панель управления\Система и безопасность\Брандмауэр Защитника Windows\Разрешенные программы
Для доступа к шарам на жестком диске включаем следующие программы:
1) HASP LM
2) Secure Socket Tunneling
3) Sentinel Licence Manager
4) Веб-доступ к удаленным рабочим столам
5) Служба iSCSI
6) Служба входа в сеть