none
2008 R2 Group policy disable administrative share. RRS feed

  • 问题

  • hello 各位大神:

          请教个问题,我有个windows server 2008 R2搭建的域服务器,由于一些公司政策原因,客户端加入域后,其所有域用户都加入了客户端计算机的本地管理员组(即对本机器是有管理员权限的),现在面临一个问题,就是域管理客户端都开了一些默认共享,比如admin$,C$,D$等,这些大家通过网络链接$符号进行访问,所以有以下两个问题请教下:

           1、这些默认共享不是应该域管理员组administrators内成员可以访问吗?各客户端本地管理员组有权限可以访问其他客户端这种隐藏共享吗?这样会是一个安全隐患。

           2、通过net share del只是临时删除共享,通过注册表更改可以永久删除,但是应该是所有默认共享都一起删除,这样会不会影响域内部管理,或下发。(我对这些默认共享用途不太清楚),能不能只是关闭盘符的隐藏共享,其他ipcs或admin不关闭呢?

           谢谢帮忙解答下,不胜感激!

    2017年11月27日 3:20

答案

  • 你好,

    经过我的研究,我要补充一下前面我说的内容。


    请问你的客户端的系统版本是?


    本地管理员有权限访问访问其他机器的默认共享,通常发生在下列情况:

    1 远程UAC被禁用,下面链接的注册表键值设置为1的时候

    更多信息请参考下面的链接(适用于Vista系统):

    https://support.microsoft.com/zh-cn/help/951016/description-of-user-account-control-and-remote-restrictions-in-windows

    2 组策略 “管理员批准”模式 设置成了 "不提示,直接提升“。

    计算机配置》windows设置》安全设置》本地策略 》安全选项

    3凭据被保存(账户或证书)。

    请打开控制面板》凭据管理器 检查本地电脑是否保存了其它有权限的凭据。

    通过net share del只是临时删除共享,通过注册表更改可以永久删除,但是应该是所有默认共享都一起删除,这样会不会影响域内部管理,或下发。(我对这些默认共享用途不太清楚),能不能只是关闭盘符的隐藏共享,其他ipcs或admin不关闭呢?

    经过我的实验,打开注册表。在HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \lanmanserver \parameters下建立一个DWORD值,将AutoShareServer和AutoShareWks数值配置为0

    修改注册表后,盘符隐藏共享和admin关闭了,ipcs会保留。

    注意:修改注册表之前请先保存备份。

    Best Regards,

    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2017年11月28日 7:55
    版主

全部回复

  • 你好,

    1、这些默认共享不是应该域管理员组administrators内成员可以访问吗?各客户端本地管理员组有权限可以访问其他客户端这种隐藏共享吗?这样会是一个安全隐患。

    要应用默认共享,必须先要用管理员提升的命令行工具运行,比如:net share c$=c:\  会开启。当一个登陆本地管理员账户的机器想要访问其他机器的默认共享需要输入域管理员账户。

     2、通过net share del只是临时删除共享,通过注册表更改可以永久删除,但是应该是所有默认共享都一起删除,这样会不会影响域内部管理,或下发。(我对这些默认共享用途不太清楚),能不能只是关闭盘符的隐藏共享,其他ipcs或admin不关闭呢?

    理论上,没有影响。组策略的共享文件夹是sysvol。

    更多关于默认共享的开启和关闭,请参考下面的链接:

    http://blog.csdn.net/holandstone/article/details/14165377

    请注意:Microsoft提供第三方信息旨在帮助您查找技术支持。 此信息可能会失效,我们将不再进行通知。 Microsoft不保证此第三方信息的准确性。

    Best Regards,

    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2017年11月28日 3:04
    版主
  • Hello Frank

          thanks for your reply,关于第一个问题,我还是不太明白,因为现我组织中各用户权限都是domain User,并没有任何管理组。只是登陆各本地客户端都会自动加入到本地的administrators组中(利用脚本控制的),但目前发现所有人都可以通过\\ip\d$访问别人电脑盘符,没有任何认证,我觉得这个是不正常的。

    2017年11月28日 3:20
  • 你好,

    经过我的研究,我要补充一下前面我说的内容。


    请问你的客户端的系统版本是?


    本地管理员有权限访问访问其他机器的默认共享,通常发生在下列情况:

    1 远程UAC被禁用,下面链接的注册表键值设置为1的时候

    更多信息请参考下面的链接(适用于Vista系统):

    https://support.microsoft.com/zh-cn/help/951016/description-of-user-account-control-and-remote-restrictions-in-windows

    2 组策略 “管理员批准”模式 设置成了 "不提示,直接提升“。

    计算机配置》windows设置》安全设置》本地策略 》安全选项

    3凭据被保存(账户或证书)。

    请打开控制面板》凭据管理器 检查本地电脑是否保存了其它有权限的凭据。

    通过net share del只是临时删除共享,通过注册表更改可以永久删除,但是应该是所有默认共享都一起删除,这样会不会影响域内部管理,或下发。(我对这些默认共享用途不太清楚),能不能只是关闭盘符的隐藏共享,其他ipcs或admin不关闭呢?

    经过我的实验,打开注册表。在HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \lanmanserver \parameters下建立一个DWORD值,将AutoShareServer和AutoShareWks数值配置为0

    修改注册表后,盘符隐藏共享和admin关闭了,ipcs会保留。

    注意:修改注册表之前请先保存备份。

    Best Regards,

    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2017年11月28日 7:55
    版主
  • 你好,

    是的,听了你的答复确认admin$没影响后,我已经通过注册表进行关闭共享了,可能需要重启生效。至于第一个问题

    1、安装系统后,组策略默认就是设置为 “不提示,直接提升”,需要更改到其他的就可以不访问吗?

        PS:检查了其他两个原因(uac和凭据),都没什么问题。

    昨天我尝试设置某台客户端win7系统 。该组策略表选项为   同意提示,但还是可以直接进入其他客户端的默认共享!

    2017年11月28日 9:16