Столкнулся с тем, что не удается удаленно подключиться к дефолтным административным шарам (которые с долларом) на компьютере с Windows под пользователем, входящим в группу локальных администраторов. Причем под учетной записью встроенного локального администратора (по умолчанию она отключена) такой доступ работает.
Немного подробнее как выглядит проблема. Пытаюсь с удаленного компьютера обратится к встроенным административным ресурсам компьютера Windows 10, состоящего в рабочей группе (при отключенном фаерволе) таким образом:
- \\win_pc\C$
- \\win_pc\D$
- \\win_pc\IPC$
- \\win_pc\Admin$
В окно авторизации ввожу имя и пароль учетной записи, состоящей в группе локальных администраторов Windows, на что появляется ошибка доступа (Access is denied). При этом доступ к общим сетевым каталогам и принтерам на Windows работает нормально. Доступ под встроенной учетной записью administrator к административным ресурсам при этом тоже работает. Если же этот компьютер включить в домен Active Directory, то под доменными аккаунтами с правами администратора доступ к админским шарам также не блокируется.
Дело в еще одном аспекте политики безопасности, появившемся в UAC – так называемом Remote UAC (контроль учетных записей для удаленных подключений), который фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ таким учеткам. При доступе под доменным аккаунтом такое ограничение не налагается.
Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy
Совет. Эта операция несколько снижает уровень безопасности системы.
- Откройте редактор реестра (regedit.exe)
- Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy
- Установите значение параметра LocalAccountTokenFilterPolicy равным 1
- Для применения изменений потребуется перезагрузить компьютер
Примечание. Создать указанный ключ можно всего одной командой
reg add «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System» /v «LocalAccountTokenFilterPolicy» /t REG_DWORD /d 1 /f
После загрузки попробуйте удаленно открыть каталог административный каталог C$ на Windows компьютере. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов. Должно открыться окно проводника с содержимым диска C:\.
Примечание. Станет доступен и другой функционал удаленного управления Windows 10, в том числе теперь можно удаленно подключиться к компьютеру с помощью оснастки Computer Management (Управления компьютером).
Итак, мы разобрались как с помощью параметра LocalAccountTokenFilterPolicy разрешить удаленный доступ к скрытым админ-ресурсам для всех локальных администраторов компьютера Windows. Данная инструкция применима также к Windows 8.x, 7 и Vista.
winitpro.ru
