Zoči-voči tomu, že nie je možné vzdialene sa pripojiť k predvoleným správcovským guľkám (ktoré sú s dolárom) v počítači so systémom Windows 10 pod používateľom, ktorý je súčasťou skupiny miestnych správcov. Navyše, na účet zabudovaného miestneho správcu (v predvolenom nastavení je zakázaný), takýto prístup funguje.
Problém vyzerá trochu podrobnejšie. Snažím sa zo vzdialeného počítača získať prístup k vstavaným administratívnym prostriedkom počítača so systémom Windows 10, ktorý pozostáva z pracovnej skupiny (s vypnutou bránou firewall) týmto spôsobom:
- \\ win10_pc \ C $
- \\ win10_pc \ D $
- \\ win10_pc \ IPC $
- \\ win10_pc \ Admin $
V autorizačnom okne zadám meno a heslo účtu, ktorý je skupinou lokálnych administrátorov Windows 10, čo spôsobuje chybu prístupu (Prístup bol odmietnutý). Zároveň funguje dobre prístup k zdieľaným sieťovým adresárom a tlačiarňam v systéme Windows 10. Funguje tiež prístup pod zabudovaným účtom správcu k administratívnym prostriedkom. Ak je tento počítač zahrnutý v doméne služby Active Directory, neblokuje sa v rámci doménových účtov s právami správcu prístup k správcovským guľám.
Ide o ďalší aspekt bezpečnostnej politiky, ktorá sa objavila v UAC - tzv Vzdialené uac (kontrola účtu pre vzdialené pripojenia), ktorá filtruje prístupové tokeny miestnych záznamov a účtov Microsoft, čím blokuje vzdialený administratívny prístup k takýmto účtom. Pri prístupe na účet domény sa takéto obmedzenie neukladá.
Vzdialené UAC môžete zakázať vytvorením parametra v systémovom registri LocalAccountTokenFilterPolicy
rada. Táto operácia mierne znižuje bezpečnosť systému..- Otvorte Editor databázy Registry (regedit.exe)
- Prejdite do vetvy registra HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Vytvorte nový pomenovaný DWORD (32-bitový) parameter LocalAccountTokenFilterPolicy
- Nastavte LocalAccountTokenFilterPolicy na 1
- Ak chcete použiť zmeny, musíte reštartovať počítač.
poznámka. Zadaný kľúč môžete vytvoriť iba jedným príkazom
reg pridať "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System" / v "LocalAccountTokenFilterPolicy" / t REG_DWORD / d 1 / f
Po stiahnutí skúste vzdialene otvoriť administratívny adresár C $ v počítači so systémom Windows 10. Prihláste sa pomocou účtu v skupine miestnych administrátorov. Malo by sa otvoriť okno prehliadača s obsahom jednotky C: \.
Preto sme prišli na to, ako použiť parameter LocalAccountTokenFilterPolicy na umožnenie vzdialeného prístupu k skrytým správcovským prostriedkom pre všetkých miestnych správcov počítača so systémom Windows. Táto príručka sa týka aj systémov Windows 8.x, 7 a Vista..
