Admin как открыть доступ

Как включить admin$ share on Windows 7

Итак в процессе исполнения свой задумки для интерактивного взаимодействия с удаленными системами в домене я возобновил использование пакета программ именуемого, как pstools. Но вот в чем беда при подключении к некоторым из них в консоли я наблюдал вот такую вот строку

Make sure that the default admin$ share is enabled on W7X86.

Говорящую, что на удаленной системе не включен общий ресурс именуемый, как admin$. А вот для работы psexec Он очень необходим. Вот сейчас я разберу все действия которые я применил, чтобы активировать данный ресурс на всех компьютерах домена и что будет если этот ресурс будет выключен (на 100%). Если ресурс admin$ выключен то удаленно просмотреть его не удасться, т. е. Запрос вида: \\host\c$ \\host\admin$ не отобразит ничего какими бы административными правами Вы как администратор домена не обладали.

Если такого нет? \\W7X86\admin$

Выгрузить таблицу по всем сервисам системы, чтобы проанализировать в удобном виде какой сервис отвечает за доступ к ресурсам систем Windows:

C:\Windows\system32>wmic /output:»service.html» service list full /format:htable

За доступ к шаре admin$ отвечает сервис именуемый, как LanmanServer

Обеспечивает поддержку общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение. Если служба остановлена, такие функции не удастся выполнить. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы..

C:\Windows\system32>sc config lanmanserver start= disabled

C:\Windows\system32>net stop lanmanserver

Следующие рабочие станции имеют сеансы на сервере:

Продолжить операцию? (Y-да/N-нет) [Y]: y

Следующие рабочие станции имеют на сервере сеансы с открытыми файлами:

Продолжить операцию? (Y-да/N-нет) [N]: y

Служба «Сервер» останавливается.

Служба «Сервер» успешно остановлена.

Пробую открыть admin$ (W7X86\admin$)

или же такое информационное окно:

И соответственно подключиться через утилиту psexec к компьютеру у меня не удасться, а если она запущена:

C:\Windows\system32>sc config lanmanserver start= auto

C:\Windows\system32>net start lanmanserver

Служба «Сервер» запускается.

Служба «Сервер» успешно запущена.

То та учетная запись которая обратилась к этому ресурсу, как локального так и удаленного компьютера увидит перечень файлов и каталогов директории c:\Windows\ если обладает Административными правами.

Чтобы в домене ко всем ресурсам можно было обратиться имея права Администратора домена то можно добавить в дефолтную групповую политику домена следующую настройку:

DC (Server 2008 R2 Ent SP1): — Start — Control Panel — Administrative Tools — Group Policy Management — Group Policy Management — Forest: polygon.local — Domains — polygon.local — Default Domain Policy — Edit — Default Domain Policy [srv-dc.polygon.local] — Computer Configuration — Preferences — Control Panel Settings — Services — New — Service:

вкладка: General

• Startup: Automatic
• Service name: LanmanServer
• Service action: Start service
• Log on as: Local System account

вкладка: Recovery

• First failure: Restart the Service
• Second failure: Restart the Service

после нажимаю Apply — OK. Теперь на станциях на которые до этого момента я не мог зайти через \\host\admin$ зайти с правами Администратора домена зайти смогу, но только когда станции будут перезагружены, а за этот момент у меня отвечает политика по ежедневному выключению рабочих станций в целях экономии электроэнергии → GPO_Shutdown

Для проверки применения политики запуска сервиса я выключил службу и перезагрузился, после проверяю как отработала политика:

C:\Windows\system32>sc query lanmanserver

Тип : 20 WIN32_SHARE_PROCESS

Состояние : 4 RUNNING

(STOPPABLE, PAUSABLE, IGNORES_SHUTDOWN)

Код_выхода_Win32 : 0 (0x0)

Код_выхода_службы : 0 (0x0)

Все как и задумано, теперь я могу пользоваться утилитой psexec для удаленного исполнения своих скриптов, можно конечно использовать групповые политики, только вот результат у них появляется либо в момент авторизации в системе/завершении сеанса (Log on/Log off), либо же после загрузки/выключения (load/shutdown), а мне же нужно в режиме реального времени. Так что оба способа достаточны для выполнения поставленных задач. Может конечно многих моментов в этой заметке я не рассмотрел, а лишь те которые привели меня к решению поставленной самому себе задачи, так что для кого-то все выше указанное может не сработать. Я же буду ее дополнять если у меня что-то не будет отрабатывать. На этом я прощаюсь с Вами читатели моего блога, с уважением ekzorchik.

От ekzorchik

Всем хорошего дня, меня зовут Александр. Я под ником — ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог — это шпаргалка онлайн. Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору.

Windows: общие административные папки (Admin$, IPC$, C$)

01.12.2023

itpro

Windows 10, Windows 11, Windows Server 2016, Windows Server 2019

комментария 24

Административные общие папки (шары, ресурсы) в Windows используются для удаленного доступа и управление компьютером. Windows по-умолчанию создает следующие административные шары:

• Admin$ — Remote Admin (это каталог %SystemRoot% ) – используется для удаленного администрирования компьютера;
• IPC$ — Remote IPC — используется для коммуникации программ named pipes)

Использование административных шар в Windows

Список административных папок на компьютере можно вывести в консоли управления компьютером compmgmt.msc ( System Tools -> Shared Folders -> Shares, Общие папки -> Общие ресурсы), выполнив команду net share .

Имена общих административных шар заканчиваются знаком $. Служба LanmanServer скрывает общие папки с символом $ в сетевом окружении. Если в проводнике открыть список доступных сетевых папок на компьютере ( \\computername ), административные шары не будут показаны.

Можно получить список доступных административных шар на удаленном компьютере с помощью команды:

net view \\computername /all

В большинстве сторонних файловых менеджеров для Windows доступна опция, позволяющая автоматически показывать доступные административные ресурсы на удаленных компьютерах.

Чтобы открыть содержимое административной шары из File Explorer, нужно указать ее полное имя. Нажмите Win+R, и выполните команду \\computername\c$ .

Данная команда откроет содержимое локального диска C и позволит вам получить полноценный доступ к файловой системе системного диска удаленного компьютера.

Получить доступ к административным шарам могут только члены локальной группы администраторов компьютера (и группы Backup Operators) при условии, что у вас включен SMB протокол, общий доступ (Turn on file and printer sharing) и доступ по 445 порту TCP не блокируется Windows Defender Firewall.

Как удалить общие административные шары в Windows?

Административные общие папки Windows удобны для удаленного администрирования компьютера, но несут дополнительные риски безопасности. Вы можете полностью запретить Windows создавать эти скрытые папки. Это не нарушит работу компьютера Windows, использующегося в качестве клиента, но ограничит его удаленное администрирование.

Чтобы отключить общую административную папку, выберите опцию Stop sharing в консоли Computer Management (или выполните команду net share IPC$ /delete ). Это удалит общую административную папку, но по после перезагрузки компьютера Windows пересоздаст ее автоматически.

Чтобы запретить Windows публиковать административные шары, нужно открыть редактор реестра regedit.exe, перейти в ветку реестра HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters и добавить Dword параметр с именем AutoShareWks (для десктопных версий Windows) или AutoShareServer (для Windows Server) и значением 0.

Можно создать это параметр реестра вручную, из командной строки reg add:

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

или через PowerShell:

New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

Теперь после перезагрузки административные шары не будут создаваться. При этом перестанут работать утилиты удаленного управления компьютером, в том числе psexec.

В доменной сети вы можете запретить публиковать локальные диски компьютеров в качестве административных шар с помощью групповых политик:

1. Создайте новую GPO в консоли GPMC. Перейдите в раздел Computer Configuration -> Preferences -> Windows Settings -> Network Shares;
2. Выберите Action: Delete и включите опцию Delete all administrative drive-letter shares.

Включить административные общие папки в Windows

Если вы хотите включить административные сетевые папки, нужно изменить значение параметра на 1 или удалить его.

Set-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Value 1

Административные шары публикуются службой LanmanServer. Если эта служба остановлена, удаленные пользователи не смогут получить доступ к общим ресурсам на этом компьютере.

Чтобы Windows пересоздала административные шары, достаточно перезапустить службу Server командой:

Выполните команду PowerShell Get-SmbShare и проверьте, что административные шары стали доступны.

Разрешить удаленный доступ к административным папкам Windows

Однако Windows по-умолчанию блокирует удаленный доступ к административным шарам на компьютерах в рабочей группе (Workgroup). При попытке открыть в проводнике список файлов на таком компьютере с помощью команды\ \win10_pc\C$ появляется запрос пароля. После ввода учетных данных локального пользователя из группы локальных администраторов появляется ошибка доступа (Access is denied). Удаленный доступ к административным шарам возможен только под встроенным администратором Windows.

Удаленный доступ к административным шарам в этом случае блокируется компонентом Remote UAC (контроль учетных записей для удаленных подключений). Remote UAC фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ к папкам. При доступе под доменным аккаунтом такое ограничение не применяется.

Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy

Совет. Эта операция несколько снижает уровень безопасности Windows.

1. Откройте редактор реестра (regedit.exe);
2. Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ;
3. Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy;
4. Установите значение параметра LocalAccountTokenFilterPolicy равным 1;
5. Для применения изменений потребуется перезагрузить компьютер

Примечание. Создать параметр LocalAccountTokenFilterPolicy можно командой

reg add «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System» /v «LocalAccountTokenFilterPolicy» /t REG_DWORD /d 1 /f

После перезагрузки попробуйте удаленно открыть административный каталог C$ на компьютере Windows. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов.

Должно открыться окно проводника с содержимым диска.

Предыдущая статья Следующая статья

Admin как открыть доступ

Нет доступа к ADMIN$ по сети

Вопрос

Здравствуйте! Помогите решить следующую проблему: Нужно получить доступ к ADMIN$ по сети, для того чтобы можно было удаленно ставить различные приложения. Ситуация следующая, есть 2 компьютера, оба находятся в рабочей группе(не в домене) на обоих установлена windows 7 professional RU, отключена галочка «простой общий доступ», созданы одинаковые локальные пользователи с одинаковыми паролями, созданы общие папки. В групповой политике настроено: Сетевая безопасность: уровень проверки подлинности LAN Manager), что на обоих компьютерах используется совместимый протокол аутентификации NTLM, либо NTLMv2. В общие папки созданные мной заходит без проблем и видит. но как только я хочу зайти по сети \\компьютер1\admin$ выскакивает окно ввод сетевого пароля (ошибка отказано в доступе) при вводе имени пользователя и пароля естественно не пускает. При отключении контроля учетных записей проблема решается, но это не вариант хотелось бы решить данную проблему без отключения контроля учетных записей. Может кто то что то посоветует))

24 декабря 2010 г. 8:17

Ответы

Совершите данные действия из-под встроенной учётной записи — «Администратор». Это поможет. In pivo veritas. t.G. — испокон и вовеки. Want to believe. It’s a magic.

• Помечено в качестве ответа AndricoRus Editor 24 декабря 2010 г. 9:48

24 декабря 2010 г. 8:26

Как разрешить обычным пользователям RDP доступ к Windows Server?

17.05.2023

itpro

Active Directory, Windows Server 2016, Windows Server 2019, Групповые политики

комментариев 15

По умолчанию удаленный RDP доступ к рабочему столу рядовых серверов с Windows Server или к контроллерам домена Active Directory разрешен только пользователям, добавленных в локальную группу Administrators, или администраторам домена (Domain Admins). В этой статье мы покажем, как предоставить RDP доступ к хостам Windows Server или контроллерам домена обычным пользователям без предоставления прав административных полномочий.

По умолчанию настройки безопасности Windows позволяют RDP подключение удаленному пользователю через службу Remote Desktop Services (TermService) если:

• Пользователь состоит в локальной группе Administrators или Remote Desktop Users;
• Пользователю разрешено подключение через локальную политику Allow the log on through Remote Desktop Services.

Чтобы войти в систему, вам нужно право на вход через службу удаленных рабочих столов

При попытке удаленно подключиться к рабочему столу Windows Server, у пользователя появится ошибка:

To sign in remotely, you need the rights to sign in Remote Desktop Services. By default only members of the Administrators group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from Administrators group, you need to be granted this right manually.

Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов. По умолчанию такое право имеют члены группы Администраторы. Если у вашей группы нет этого права или оно было удалено для группы Администраторы, попросите предоставить его вам вручную.

Если на удаленном хосте для RDP включена проверка подлинности NLA (Network Level Authentication), то при подключении появится другая ошибка:

The connection was denied because the user account is not authorized for remote login.

Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему.

В этом случае, чтобы разрешить пользователю подключаться к Windows Server по RDP, вам достаточно добавить его в локальную группу Remote Desktop User. Для этого:

1. Откройте mmc оснастку Local Users and Groups MMC ( lusrmgr.msc ) и перейдите в раздел Groups;
2. Щелкните по группе Remote Desktop User (Пользователи удаленного рабочего стола);
3. Нажмите кнопку Add и укажите имя пользователя (или группы), которому вы хотите предоставить RDP доступ;
4. После этого пользователь сможет подключиться к этому хосту Windows по RDP.

Также вы можете добавить пользователя в группу доступа RDP из командной строки:

net localgroup «Remote Desktop Users» /add winitpro\kbuldogov

Add-LocalGroupMember -Group «Remote Desktop Users» -Member kbuldogov

Вывести список пользователей в группе Remote Desktop Users

Get-LocalGroupMember -Group ‘Remote Desktop Users’

По аналогии вы можете предоставить пользователям RDP доступ к рабочим станциям с Windows 10 или 11 (не забудьте включить на них RDP)

По умолчанию Windows Server разрешает две одновременные удаленные RDP сессии. Т.е. два пользователю могут одновременно работать в собственных Remote Desktop сеансах. Если вам нужно большее количество одновременных RDP подключений, придется приобрести и активировать лицензии (RDP CAL) на сервере лицензирования RDS и установить роль Remote Desktop Services (это может быть отдельностоящий сервер с ролью RDSH или полноценная RDS ферма из нескольких серверов).

В RDS ферме для предоставления удаленного доступа можно использовать RDS коллекции. Откройте Server Manager > Remote Desktop Services > Tasks > Edit Deployment Properties.

Откройте коллекцию и в разделе User Group будут указаны группу безопасности, которым разрешено подключаться к RDSH хостам в этой коллекции.

Как предоставить RDP доступ к контроллеру домена Active Directory?

Если вам нужно предоставить рядовому пользователю, удаленный доступ к рабочему столу контроллера домена, то способ, описанный выше не сработает.

Дело в том, что после повышения роли сервера до контроллера домена Active Directory в оснастке управления компьютером пропадает возможность управления локальными пользователями и группами. При попытке открыть консоль Local Users and Groups (lusrmgr.msc). появляется ошибка:

Как вы видите, на контроллере домена отсутствуют локальные группы. Вместо локальной группы Remote Desktop Users, на DC используется встроенная доменная группа Remote Desktop Users (находятся в контейнере Builtin). Управлять данной группой можно из консоли ADUC или из командной строки на DC.

Однако использовать эту группу для предоставления доступа нежелательно, т.к. она предоставит пользователю доступ ко всем DC в домене. В этом случае для предоставления прав лучше использовать политику Allow log on through Remote Desktop Services.

Многие могут вполне обоснованно возразить, зачем, собственно, рядовым пользователям нужен удаленный доступ к рабочему столу DC. Действительно, в small и middle-size инфраструктурах, когда всю инфраструктуру обслуживают несколько администраторов, обладающих правами администратора домена, такая необходимость вряд ли понадобится. Обычно хватает возможностей делегирования пользователям административных полномочия в Active Directory или предоставления прав с помощью PowerShell Just Enough Administration (JEA).

Однако в больших корпоративных сетях, обслуживаемых большим количеством персонала, нередко возникает необходимость предоставления RDP доступа к DC (как правило к филиальным DC или RODC) различным группам администраторов серверов, команде мониторинга, дежурным администраторам и прочим техническим специалистам. Также бывают ситуации, когда на DC разворачивают сторонние службы, управляемые не доменными администраторами, которое также необходимо как-то обслуживать.

Политика “Разрешить вход в систему через службу удаленных рабочих столов”

Чтобы разрешить доменному пользователю или группе удаленное RDP подключение к Windows, необходимо предоставить ему право SeRemoteInteractiveLogonRight. Вы можете предоставить это полномочие с помощью политики Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов).

В Windows Server 2003 и ранее политика называется Allow log on through terminal services.

Чтобы разрешить RDP подключение к DC членам группы SPB-Server-Admin, нужно изменить настройку этой политики на контроллере домена:

1. Запустите редактор локальной политики ( gpedit.msc );
2. Перейдите в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment;
3. Найдите политику с именем Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов);

После повышения роли сервера до DC в этой локальной политике остается только группа Administrators (это администраторы домена).

Отредактируйте политику, добавьте в нее непосредственно доменного пользователя или группу (в формате domain\somegroupname);

Обратите внимание, что группа, которую вы добавили в политику Allow log on through Remote Desktop Services, не должны присутствовать в политике “Deny log on through Remote Desktop Services”, т.к. она имеет приоритет (см статью Ограничение сетевого доступа в домене под локальными учетками). Также, если вы ограничиваете список компьютеров, на которые могут логиниться пользователи, нужно добавить имя сервера в свойствах учетной записи в AD (поле Log on to в атрибуте LogonWorkstations).

Примечание. Чтобы разрешить пользователю локальный вход на DC (через консоль сервера), его учетную запись или группу, нужно добавить также в политику Allow log on locally. По умолчанию это право есть у следующих доменных групп:

• Account Operators
• Administrators
• Backup Operators
• Print Operators
• Server Operators.

Если это не сделать, при входе появится ошибка Этот метод входа запрещено использовать.

Для удобства вы можете создать в домене новую группу безопасности, например, AllowDCLogin. Затем нужно добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль управления доменными политиками ( GPMC.msc ) добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Allow log on through Remote Desktop Services находится в разделе Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment).

Важно. Если вы изменяете доменную политику, не забудьте добавить в нее группы администраторов домена/предприятия, иначе они потеряют удаленный доступ к контроллерам домена.

Теперь пользователи, которых вы добавили в политику, смогут подключаться к рабочему столу контроллеру домена по RDP.

Если вам нужно предоставить обычным пользователями права на запуск/остановку определенных служб на DC, воспользуйтесь следующей инструкцией.

Доступ к требуемому сеансу RDP отклонен

В нескорых случаях при подключении по RDP к контроллеру домена, вы можете получить ошибку:

The requested session access is denied

Доступ к требуемому сеансу отклонен

Если вы подключаетесь к DC под неадминистративной учетной записью, это может быть связано с двумя проблемами:

• Вы пытаетесь подключиться к консоли сервера (с помощью mstsc /admin ). Такой режим подключения разрешен только пользователям с правами администратора сервера. Попробуйте подключиться к серверу в обычном режиме (без параметра /admin );
• Возможно на сервере уже есть две активные RDP сессии (по умолчанию к Windows Server без службы RDS можно одновременно подключиться не более чем двумя RDP сеансами). Список активных сессий на удалённом компьютере и залогиненых пользователей можно вывести так:
  qwinsta /server:dc01
  Без прав администратора вы не сможете завершить сессии других пользователей. Нужно дождаться, пока администраторы освободят или завершат одну из сессий;
• На хосте Windows Server включен режим Restricted Admin или Windows Defender Remote Credential Guard

Предыдущая статья Следующая статья