Impossible de se connecter au partage administrateur par défaut sur Windows 2008

17

J'ai un serveur Windows 2008 que j'essaie de me connecter au partage administratif par défaut

\\servername\c$

Je peux m'y connecter en utilisant le compte Administrateur par défaut. Mais si j'essaye de me connecter en utilisant mon compte d'utilisateur membre du groupe Administrateurs, je ne peux pas. Qu'est-ce que je rate?

windows-server-2008 permissions philcruz
la source
2
Quel groupe d'administrateurs? Administrateurs locaux sur la machine, administrateurs de domaine ou simplement administrateurs simples?
phuzion
1
De plus, avez-vous cette configuration dans un domaine? Si oui, vos comptes AD sont-ils dans les administrateurs de domaine?
phuzion
Le serveur n'est pas dans un domaine. Il s'agit du groupe Administrateurs sur la machine locale.
philcruz

Réponses:

18

Oui, l'UAC est configuré pour ne pas autoriser l'accès aux partages par défaut à distance. Pour l'activer, créez la valeur DWORD LocalAccountTokenFilterPolicy à cette clé dans le Registre

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\

0 - génération de jeton filtré (UAC distant activé)
1 - génération de jeton élevé (UAC distant désactivé)

En définissant l'entrée DWORD sur 1, vous pourrez accéder aux partages administratifs car le jeton de connexion à distance ne sera pas filtré.

Ceci est abordé dans cet article de la base de connaissances , http://support.microsoft.com/kb/947232 . (C'est pour Vista mais cela s'applique à Windows Server 2008 R2)

philcruz
la source
1
nous avons eu ce problème, mais uniquement avec Windows Server 2008 R2. Windows Server 2008 ne présente pas du tout ce comportement, il est donc apparemment nouveau pour 2008 R2 (avec Vista et Windows 7).
Jeff Atwood
Impressionnant! Exactement le problème que j'ai eu avec W2K8R2 dans un test de laboratoire de doubletake. Merci!
WaldenL
J'ai voté pour cette réponse il y a au moins un an et je fais référence à cette page au moins une fois par mois. Si seulement je pouvais encore voter.
Saul Dolgin
Je voterais ce 4 fois si je le pouvais.
Kurt Koller
Je sais que je déteste cette réponse. Je veux juste mentionner que vous pouvez modifier ce paramètre via une stratégie locale ou de groupe. J'ai vu de nombreuses fois des gens définir cette clé avec une politique de registre au lieu d'une politique de groupe. Si vous choisissez de modifier les valeurs dans les politiques, regkey ne le fait que localement sur le serveur.
Tom
7

Le contrôle d'accès utilisateur est activé. Désactivez-le et réessayez.

Si l'UAC est activé, le fait d'être membre du groupe Administrateurs local ne vous donne PAS de privilèges d'administrateur local.

JR

Re LocalAccountTokenFilterPolicy:

ce paramètre de registre permet en effet à tous les membres du groupe d'administrateurs locaux d'utiliser les partages admin C $, Admin $ etc, sur Server 2008.

Toutefois, si l'ACL sur un annuaire est "Administrateurs: Contrôle total", les membres du groupe Administrateurs local (à part Administrateur) n'ont toujours pas accès à l'annuaire même si l'ACL leur accorde l'accès. Cela n'est pas affecté par le paramètre de registre ci-dessus.

John Rennie
la source
Je soupçonne que c'est un problème UAC mais je préfère le laisser activé car c'est plus sécurisé. Si être membre du groupe Administrateurs ne me donne pas de privilèges d'administrateur (pour me connecter aux partages par défaut), qu'est-ce qui se passe?
philcruz
Je n'avais pas rencontré le paramètre de registre LocalAccountTokenFilterPolicy. Je vais jouer avec ça. En attendant, vous pouvez créer vos propres partages à la racine de C :, D: et peu importe.
John Rennie
1

Server 2008 gère les choses différemment qu'auparavant. Vous ne pouvez pas simplement vous ajouter au groupe d'administrateurs local sur un serveur membre. Ce que j'ai découvert, c'est que vous devez donner au groupe d'administrateurs de domaine le contrôle total du volume des questions et vous ajouter au groupe d'administrateurs de domaine. Cela n'a absolument rien à voir avec l'UAC de ce que j'ai vécu. Je l'ai complètement désactivé pendant les tests et j'ai toujours rencontré ce problème.


la source
1

J'ai finalement résolu mon problème d'accès au partage administratif. Dans mon cas, cela s'est avéré être une relation corrompue entre le domaine et le PC. Pour le corriger, suivez ces étapes simples: - quittez le domaine et rejoignez un groupe de travail (j'ai utilisé TEMP), vous devrez redémarrer - rejoignez le domaine, redémarrez requis c'est tout, la confiance a été rétablie et je peux maintenant accéder au Partages administratifs PC à partir de tout autre PC / serveur du domaine.

Manolo
la source