Vzhledem k tomu, že není možné vzdáleně se připojit k výchozím správním míčům (které jsou s dolarem) v počítači se systémem Windows 10 pod uživatelem, který je součástí místní skupiny správců. Navíc, pod účtem vestavěného místního správce (ve výchozím nastavení je zakázán), takový přístup funguje.
Problém vypadá trochu podrobněji. Snažím se ze vzdáleného počítače získat přístup k vestavěným administrativním prostředkům počítače se systémem Windows 10, který se skládá z pracovní skupiny (s vypnutým firewallem) tímto způsobem:
- \\ win10_pc \ C $
- \\ win10_pc \ D $
- \\ win10_pc \ IPC $
- \\ win10_pc \ Admin $
V autorizačním okně zadám jméno a heslo účtu, což je skupina místních administrátorů Windows 10, která způsobí chybu přístupu (Přístup byl odepřen). Zároveň funguje dobře přístup ke sdíleným síťovým adresářům a tiskárnám v systému Windows 10. Funguje také přístup pod vestavěným účtem správce k administrativním prostředkům. Pokud je tento počítač zahrnut do domény Active Directory, nebude v rámci doménových účtů s oprávněními správce blokován přístup k správcovským míčům.
Jde o další aspekt bezpečnostní politiky, která se objevila v UAC - tzv. Vzdálené uac (řízení účtu pro vzdálená připojení), který filtruje přístupové tokeny místních záznamů a účtů Microsoft, což blokuje vzdálený přístup správce k těmto účtům. Při přístupu pod doménovým účtem není takové omezení uloženo.
Vzdálené UAC můžete zakázat vytvořením parametru v systémovém registru LocalAccountTokenFilterPolicy
Tip. Tato operace mírně snižuje zabezpečení systému..- Otevřete Editor registru (regedit.exe)
- Přejít na větev registru HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Vytvořte nový DWORD (32bitový) parametr s názvem LocalAccountTokenFilterPolicy
- Nastavte LocalAccountTokenFilterPolicy na 1
- Chcete-li použít změny, musíte restartovat počítač.
Poznámka:. Zadaný klíč můžete vytvořit pouze jedním příkazem
reg přidat "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System" / v "LocalAccountTokenFilterPolicy" / t REG_DWORD / d 1 / f
Po stažení zkuste vzdáleně otevřít adresář pro správu C $ v počítači se systémem Windows 10. Přihlaste se pomocí účtu ve skupině místních správců. Otevře se okno prohlížeče s obsahem jednotky C: \.
Přišli jsme tedy na to, jak pomocí parametru LocalAccountTokenFilterPolicy povolit vzdálený přístup ke skrytým správcovským prostředkům pro všechny místní správce počítače se systémem Windows. Tato příručka platí také pro Windows 8.x, 7 a Vista..
