Не удается подключиться к общему ресурсу администратора по умолчанию в Windows 2008

17

У меня есть сервер Windows 2008, который я пытаюсь подключиться к общему административному ресурсу по умолчанию

\\servername\c$

Я могу подключиться к нему, используя учетную запись администратора по умолчанию. Но если я попытаюсь подключиться, используя мою учетную запись, которая является членом группы администраторов, я не смогу. Что мне не хватает?

windows-server-2008 permissions philcruz
источник
2
Какие группы администраторов? Локальные администраторы на машине, администраторы домена или просто администраторы?
phuzion
1
Кроме того, у вас есть это настроено в домене? Если да, то являются ли ваши учетные записи AD администраторами доменов?
phuzion
Сервер не находится в домене. Это группа администраторов на локальной машине.
Philcruz

Ответы:

18

Да, UAC настроен на запрет удаленного доступа к общим ресурсам по умолчанию. Для включения создайте значение DWORD LocalAccountTokenFilterPolicy для этого ключа в реестре.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\

0 - построить отфильтрованный токен (Remote UAC включен)
1 - построить повышенный токен (Remote UAC отключен)

Установив для записи DWORD значение 1, вы сможете получить доступ к административным общим ресурсам, поскольку маркер удаленного входа не будет фильтроваться.

Это обсуждается в этой статье базы знаний , http://support.microsoft.com/kb/947232 . (Это для Vista, но это относится к Windows Server 2008 R2)

philcruz
источник
1
у нас была эта проблема, но только с Windows Server 2008 R2. В Windows Server 2008 такого поведения не было, поэтому оно, по-видимому, является новым для 2008 R2 (наряду с Vista и Windows 7).
Джефф Этвуд
Потрясающие! Именно проблема у меня была с W2K8R2 в лабораторном тесте на даблтаке. Благодарность!
WaldenL
Я проголосовал за этот ответ по крайней мере год назад, и я ссылаюсь на эту страницу по крайней мере один раз в месяц. Если бы я только мог повторить это снова.
Сол Долгин
Я бы проголосовал за это 4 раза, если бы мог.
Курт Коллер
Я знаю, что я отрекаюсь от этого ответа. Я просто хочу упомянуть, что вы можете изменить этот параметр с помощью локальной или групповой политики. Я видел много раз, когда люди устанавливали этот ключ с политикой реестра вместо групповой политики. Если вы решили изменить значения в политиках, regkey делает это только локально на сервере.
Том
7

У вас включен контроль доступа пользователей. Отключите его и попробуйте снова.

Если UAC включен, то членство в локальной группе администраторов НЕ дает вам прав локального администратора.

JR

Re LocalAccountTokenFilterPolicy:

этот параметр реестра действительно позволяет всем членам группы локальных администраторов использовать общие ресурсы администратора C $, Admin $ и т. д. на Server 2008.

Однако если ACL для каталога - «Администраторы: полный контроль», то члены локальной группы администраторов (кроме Администратора) по-прежнему не имеют доступа к каталогу, даже если ACL предоставляет им доступ. Это не зависит от вышеуказанного параметра реестра.

Джон Ренни
источник
Я подозреваю, что это проблема UAC, но я бы предпочел оставить ее включенной, так как это более безопасно. Если членство в группе «Администраторы» не дает мне прав администратора (для подключения к общим ресурсам по умолчанию), что делает?
Philcruz
Я не сталкивался с параметром реестра LocalAccountTokenFilterPolicy. Я поиграю с этим. В то же время вы можете создавать свои собственные ресурсы в корне C :, D: и все, что угодно.
Джон Ренни
1

Сервер 2008 обрабатывает вещи иначе, чем раньше. Вы не можете просто добавить себя в группу локальных администраторов на рядовом сервере. Я выяснил, что вы должны предоставить группе администраторов домена полный контроль над объемом вопросов и добавить себя в группу администраторов домена. Это не имеет абсолютно никакого отношения к UAC из того, что я испытал. Я полностью отключил его во время тестирования и все еще испытывал эту проблему.


источник
1

Наконец-то я исправил проблему с доступом к административным ресурсам. В моем случае это были испорченные отношения между доменом и ПК. Чтобы исправить это, выполните следующие простые действия: - покиньте домен и присоединитесь к рабочей группе (я использовал TEMP), вам потребуется перезапустить - присоединиться к домену, перезапустить, вот и все, доверие восстановлено, и теперь я могу получить доступ к Администрирование ПК с любого другого ПК / сервера в домене.

Маноло
источник