Зіткнувся з тим, що не вдається віддалено підключитися до дефолтних адміністративним кулях (які з доларом) на комп'ютері з Windows 10 під користувачем, що входять до групи локальних адміністраторів. Причому під обліковим записом вбудованого локального адміністратора (за замовчуванням вона відключена) такий доступ працює.
Трохи докладніше як виглядає проблема. Намагаюся з віддаленого комп'ютера звернеться до вбудованим адміністративних ресурсів комп'ютера Windows 10, що складається в робочій групі (при відключеному фаєрволі) таким чином:
- \\ win10_pc \ C $
- \\ win10_pc \ D $
- \\ win10_pc \ IPC $
- \\ win10_pc \ Admin $
У вікно авторизації вводжу ім'я і пароль облікового запису, що складається в групі локальних адміністраторів Windows 10, на що з'являється помилка доступу (Access is denied). При цьому доступ до загальних мережних каталогів і принтерів на Windows 10 працює нормально. Доступ під вбудованої обліковим записом administrator до адміністративних ресурсів при цьому теж працює. Якщо ж цей комп'ютер включити в домен Active Directory, то під доменними акаунтами з правами адміністратора доступ до адмінській кулях також не блокується.
Справа в ще одному аспекті політики безпеки, який з'явився в UAC - так званому Remote UAC (Контроль облікових записів для віддалених підключень), який фільтрує токени доступу локальних записів і акаунтів Microsoft, блокуючи віддалений адміністративний доступ таким учетке. При доступі під доменним аккаунтом таке обмеження не накладається.
Відключити Remote UAC можна шляхом створення в системному реєстрі параметра LocalAccountTokenFilterPolicy
Порада. Ця операція дещо знижує рівень безпеки системи.- Відкрийте редактор реєстру (regedit.exe)
- Перейдіть в гілку реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Створіть новий параметр типу DWORD (32-bit) з ім'ям LocalAccountTokenFilterPolicy
- Встановіть значення параметра LocalAccountTokenFilterPolicy рівним 1
- Для застосування змін потрібно перезавантажити комп'ютер
Примітка. Створити вказаний ключ можна всього однією командою
reg add "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System" / v "LocalAccountTokenFilterPolicy" / t REG_DWORD / d 1 / f
Після завантаження спробуйте віддалено відкрити каталог адміністративний каталог C $ на Windows 10 комп'ютері. Авторизуйтесь під обліковим записом, що входить в групу локальних адміністраторів. Повинно відкритися вікно провідника з вмістом диска C: \.
Отже, ми розібралися як за допомогою параметра LocalAccountTokenFilterPolicy дозволити віддалений доступ до прихованих адмін-ресурсів для всіх локальних адміністраторів комп'ютера Windows. Дана інструкція застосовна також до Windows 8.x, 7 і Vista.
