W obliczu, że nie jest możliwe zdalne połączenie z domyślnymi piłkami administracyjnymi (które są za dolara) na komputerze z systemem Windows 10 pod użytkownikiem, który jest częścią lokalnej grupy administratorów. Co więcej, pod kontem wbudowanego lokalnego administratora (domyślnie jest wyłączony), taki dostęp działa.
Problem wygląda nieco bardziej szczegółowo. Próbuję z komputera zdalnego uzyskać dostęp do wbudowanych zasobów administracyjnych komputera z systemem Windows 10, który składa się z grupy roboczej (z wyłączoną zaporą) w następujący sposób:
- \\ win10_pc \ C $
- \\ win10_pc \ D $
- \\ win10_pc \ IPC $
- \\ win10_pc \ Admin $
W oknie autoryzacji wpisuję nazwę i hasło konta, które należy do grupy lokalnych administratorów systemu Windows 10, co powoduje błąd dostępu (odmowa dostępu). Jednocześnie dostęp do udostępnionych katalogów sieciowych i drukarek w systemie Windows 10 działa dobrze. Działa również dostęp do wbudowanego konta administratora do zasobów administracyjnych. Jeśli ten komputer znajduje się w domenie Active Directory, w kontach domeny z uprawnieniami administratora dostęp do piłek administracyjnych również nie jest blokowany.
Chodzi o inny aspekt polityki bezpieczeństwa, który pojawił się w UAC - tzw Zdalny uac (kontrola konta dla połączeń zdalnych), która filtruje tokeny dostępu do lokalnych rekordów i kont Microsoft, blokując zdalny dostęp administracyjny do takich kont. Podczas uzyskiwania dostępu w ramach konta domeny takie ograniczenie nie jest nałożone.
Możesz wyłączyć zdalną kontrolę konta użytkownika, tworząc parametr w rejestrze systemu LocalAccountTokenFilterPolicy
Wskazówka. Ta operacja nieznacznie zmniejsza bezpieczeństwo systemu..- Otwórz Edytor rejestru (regedit.exe)
- Przejdź do oddziału rejestru HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Utwórz nowy parametr DWORD (32-bitowy) o nazwie LocalAccountTokenFilterPolicy
- Ustaw LocalAccountTokenFilterPolicy na 1
- Musisz ponownie uruchomić komputer, aby zastosować zmiany.
Uwaga. Możesz utworzyć określony klucz za pomocą tylko jednego polecenia
reg dodaj „HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System” / v „LocalAccountTokenFilterPolicy” / t REG_DWORD / d 1 / f
Po pobraniu spróbuj zdalnie otworzyć katalog administracyjny C $ na komputerze z systemem Windows 10. Zaloguj się przy użyciu konta w lokalnej grupie administratorów. Powinno zostać otwarte okno przeglądarki z zawartością dysku C: \.
Tak więc wymyśliliśmy, jak używać parametru LocalAccountTokenFilterPolicy, aby umożliwić zdalny dostęp do ukrytych zasobów administracyjnych wszystkim lokalnym administratorom komputera z systemem Windows. Niniejsza instrukcja dotyczy także systemów Windows 8.x, 7 i Vista..
