Nie można połączyć się z domyślnym udziałem administratora w systemie Windows 2008

17

Mam system Windows 2008 Server, który próbuję połączyć z domyślnym udziałem administracyjnym

\\servername\c$

Mogę się z nim połączyć za pomocą domyślnego konta administratora. Ale jeśli spróbuję połączyć się przy użyciu mojego konta użytkownika, które jest członkiem grupy Administratorzy, nie mogę. czego mi brakuje?

windows-server-2008 permissions philcruz
źródło
2
Która grupa administratorów? Lokalni administratorzy na komputerze, administratorzy domeny, czy po prostu administratorzy?
phuzion
1
Czy masz to również skonfigurowane w domenie? Jeśli tak, czy Twoje konta AD są w Administratorze domeny?
phuzion
Serwer nie znajduje się w domenie. Jest to grupa Administratorzy na komputerze lokalnym.
philcruz

Odpowiedzi:

18

Tak, UAC jest skonfigurowany tak, aby nie zezwalał na dostęp do domyślnych udziałów zdalnie. Aby włączyć, utwórz wartość DWORD LocalAccountTokenFilterPolicy przy tym kluczu w rejestrze

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\

0 - buduj filtrowany token (włączony Zdalny UAC)
1 - buduj podniesiony token (zdalny UAC wyłączony)

Ustawiając pozycję DWORD na 1, będziesz mieć dostęp do udziałów administracyjnych, ponieważ token zdalnego logowania nie będzie filtrowany.

Jest to omówione w tym artykule bazy wiedzy, http://support.microsoft.com/kb/947232 . (Dotyczy systemu Vista, ale dotyczy systemu Windows Server 2008 R2)

philcruz
źródło
1
mieliśmy ten problem, ale tylko w systemie Windows Server 2008 R2. Windows Server 2008 w ogóle nie wykazywał tego zachowania, więc najwyraźniej jest nowy w 2008 R2 (wraz z Vista i Windows 7).
Jeff Atwood
Niesamowite! Dokładnie problem miałem w / W2K8R2 w laboratoryjnym teście podwójnego poboru. Dzięki!
WaldenL,
Głosowałem za odpowiedzią co najmniej rok temu i odsyłam do tej strony co najmniej raz w miesiącu. Gdybym tylko mógł to jeszcze raz głosować.
Saul Dolgin
Głosowałbym za tym 4 razy, gdybym mógł.
Kurt Koller
Wiem, że nekruję tę odpowiedź. Chcę tylko wspomnieć, że możesz zmienić to ustawienie za pomocą zasad lokalnych lub grupowych. Wiele razy widziałem, jak ludzie ustawiali ten klucz za pomocą zasad rejestru zamiast zasad grupy. Jeśli zdecydujesz się zmienić wartości w zasadach, zrób to tylko lokalnie na serwerze.
Tom
7

Masz włączoną kontrolę dostępu użytkownika. Wyłącz i spróbuj ponownie.

Jeśli funkcja Kontrola konta użytkownika jest włączona, bycie członkiem lokalnej grupy administratorów NIE daje uprawnień administratora lokalnego.

JR

Re LocalAccountTokenFilterPolicy:

to ustawienie rejestru rzeczywiście umożliwia wszystkim członkom lokalnej grupy administratorów korzystanie z udziałów administracyjnych C $, Admin $ itp. na serwerze 2008.

Jeśli jednak lista ACL w katalogu to „Administratorzy: pełna kontrola”, członkowie lokalnej grupy Administratorzy (oprócz Administratora) nadal nie mają dostępu do katalogu, mimo że ACL zapewnia im dostęp. Powyższe ustawienie rejestru nie ma na to wpływu.

John Rennie
źródło
Podejrzewam, że to problem z UAC, ale wolę pozostawić włączone, ponieważ jest to bardziej bezpieczne. Jeśli bycie członkiem grupy Administratorzy nie daje mi uprawnień administratora (do łączenia się z domyślnymi udziałami), co to robi?
philcruz
Nie spotkałem ustawienia rejestru LocalAccountTokenFilterPolicy. Będę się z tym bawić. W międzyczasie możesz tworzyć własne udziały w katalogu głównym C :, D: i cokolwiek innego.
John Rennie,
1

Server 2008 obsługuje rzeczy inaczej niż kiedyś. Nie możesz po prostu dodać się do lokalnej grupy administratorów na serwerze członkowskim. Dowiedziałem się, że musisz dać grupie administratorów domeny pełną kontrolę nad wolumenem w pytaniach i dodać się do grupy administratorów domeny. Z tego, czego doświadczyłem, nie ma to absolutnie nic wspólnego z UAC. Podczas testowania całkowicie go wyłączyłem i nadal mam ten problem.


źródło
1

W końcu naprawiłem problem z dostępem administracyjnym do udziałów. W moim przypadku okazało się, że jest to uszkodzony związek między domeną a komputerem. Aby to naprawić, wykonaj następujące proste kroki: - opuść domenę i dołącz do grupy roboczej (użyłem TEMP), będziesz musiał ponownie uruchomić - ponownie dołączyć do domeny, wymagane ponowne uruchomienie to wszystko, zaufanie zostało przywrócone i mogę teraz uzyskać dostęp do Udziały administracyjne komputera z dowolnego innego komputera / serwera w domenie.

Manolo
źródło