Remote User Account Control (sau Remote UAC filtering) & file sharing
User Account Control sau UAC este un mecanism introdus in Windows incepand cu Vista. Cam toate discutiile ce tin de UAC se refera la operatiunile efectuate de la consola sistemului.
Dar ce se intampla atunci cand ma conectez remote (in cazul nostru via File Sharing) la un sistem ce ruleaza Vista sau Windows 7 si vreau sa accesez share-urile administrative (C$, D$). Grea intrebare. Hai totusi sa o lamurim. Exista 2 variante de raspuns, care depind de urmatorul factor: statia (pe care o accesam) e joinata la domeniu sau nu.
Cazul 1: statia nu e joinata la domeniu.
– voi fi intrebat de credentiale, si chiar daca introduc credentialele unui user cu drept de admin pe statia respectiva o sa primesc un Access Denied. Mai exact, daca userul este un user local, atunci nu va fi elevat si nu se va conecta cu drepturi de administrator.
Acest comportament poate fi modificat prin adaugarea cheii LocalAccountTokenFilterPolicy (DWORD) in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system cu valoarea 1. Nu este nevoie de reboot.
Cazul 2: statia este joinata la un domeniu Active Directory.
– daca incerc sa ma autentific cu un user local de pe statie comportamentul e la fel ca si in cazul 1.
– daca folosesc un user din domeniu cu drept de admin pe statie atunci userul primeste token cu drepturi full de administrator si va putea accesa shareurile administrative
Comment from Johnny
Time January 24, 2011 at 2:27 pm
Solutie testata in cazul sistemului ce NU se afla intr-un domeniu.
Functioneaza cu singura observatie referitoare la tipul valori DWORD ce trebuie sa fie definita pt 32 bit.
Eu i-am dat oricum reboot for siguranta :D.