Windows: общие административные папки (Admin$, IPC$, C$)

Административные общие папки (шары, ресурсы) в Windows используются для удаленного доступа и управление компьютером. Windows по-умолчанию создает следующие административные шары:

  • Admin$ — Remote Admin (это каталог %SystemRoot% ) – используется для удаленного администрирования компьютера;
  • IPC$ — Remote IPC — используется для коммуникации программ named pipes)
  • C$ — Default Share. Расшаренный системный диск. Если на компьютере есть другие диски с назначенными буквами, они также автоматически публикуются в виде административных общих ресурсов ( D$ , E$ и т.д.);
  • Print$ — публикуется, если вы открыли общий доступ к принтеру (используется, чтобы открыть доступ к каталогу с драйверами принтеров C:Windowssystem32spooldrivers );
  • FAX$ — используется для общего доступа к факс-серверу.

Использование административных шар в Windows

Список административных папок на компьютере можно вывести в консоли управления компьютером compmgmt.msc ( System Tools -> Shared Folders -> Shares, Общие папки -> Общие ресурсы), выполнив команду net share .

Общие скрытые административные ресурсы в windows 10

Имена общих административных шар заканчиваются знаком $. Служба LanmanServer скрывает общие папки с символом $ в сетевом окружении . Если в проводнике открыть список доступных сетевых папок на компьютере ( \computername ), административные шары не будут показаны.

проводник не показывает административные общие ресурсы (шары) Windows

Можно получить список доступных административных шар на удаленном компьютере с помощью команды:

net view \computername /all

net view all - просмотр списка доступных административных общих ресурсов в windows

В большинстве сторонних файловых менеджеров для Windows доступна опция, позволяющая автоматически показывать доступные административные ресурсы на удаленных компьютерах.

Чтобы открыть содержимое административной шары из File Explorer, нужно указать ее полное имя. Нажмите Win+R, и выполните команду \computernamec$ .

win+r раскрыть общую админ шару на удаленном компьютере

Данная команда откроет содержимое локального диска C и позволит вам получить полноценный доступ к файловой системе системного диска удаленного компьютера.

Получить доступ к административным шарам могут только члены локальной группы администраторов компьютера (и группы Backup Operators) при условии, что у вас включен SMB протокол , общий доступ (Turn on file and printer sharing) и доступ по 445 порту TCP не блокируется Windows Defender Firewall .

удаленный доступ к административной шаре c$ в windows

Как удалить общие административные шары в Windows?

Административные общие папки Windows удобны для удаленного администрирования компьютера, но несут дополнительные риски безопасности. Вы можете полностью запретить Windows создавать эти скрытые папки. Это не нарушит работу компьютера Windows, использующегося в качестве клиента, но ограничит его удаленное администрирование.

Чтобы отключить общую административную папку, выберите опцию Stop sharing в консоли Computer Management (или выполните команду net share IPC$ /delete ). Это удалит общую административную папку, но по после перезагрузки компьютера Windows пересоздаст ее автоматически.

отключить админ шару C$, ADMIN$

Чтобы запретить Windows публиковать административные шары, нужно открыть редактор реестра regedit.exe, перейти в ветку реестра HKLMSystemCurrentControlSetServicesLanmanServerParameters и добавить Dword параметр с именем AutoShareWks (для десктопных версий Windows) или AutoShareServer (для Windows Server) и значением 0 .

AutoShareWks параметр реестра Windows, который запрещает создавать скрытые административные папки

Можно создать это параметр реестра вручную, из командной строки reg add:

reg add HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters /f /v AutoShareWks /t REG_DWORD /d 0

или через PowerShell:

New-ItemProperty -Name AutoShareWks -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Type DWORD -Value 0

Теперь после перезагрузки административные шары не будут создаваться. При этом перестанут работать утилиты удаленного управления компьютером, в том числе psexec .

В доменной сети вы можете запретить публиковать локальные диски компьютеров в качестве административных шар с помощью групповых политик:

  1. Создайте новую GPO в консоли GPMC . Перейдите в раздел Computer Configuration -> Preferences -> Windows Settings -> Network Shares;
  2. Выберите Action: Delete и включите опцию Delete all administrative drive-letter shares . GPO - удалить все диски, расшаренные как админ папки

Включить административные общие папки в Windows

Если вы хотите включить административные сетевые папки, нужно изменить значение параметра на 1 или удалить его.

Set-ItemProperty -Name AutoShareWks -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Value 1

включить админские шары в windows 10

Административные шары публикуются службой LanmanServer. Если эта служба остановлена, удаленные пользователи не смогут получить доступ к общим ресурсам на этом компьютере.

Get-Service LanmanServer

проверить состояние службы lanmanserver

Чтобы Windows пересоздала административные шары, достаточно перезапустить службу Server командой:

Get-service LanmanServer | restart-service

перезапуск службы lanmanserver

Выполните команду PowerShell Get-SmbShare и проверьте, что административные шары стали доступны.

Разрешить удаленный доступ к административным папкам Windows

На компьютерах, добавленных в домен AD , удаленный доступ к административным шарам разрешен пользователям, состоящим в локальной группе администраторов .

Однако Windows по-умолчанию блокирует удаленный доступ к административным шарам на компьютерах в рабочей группе (Workgroup). При попытке открыть в проводнике список файлов на таком компьютере с помощью команды win10_pcC$ появляется запрос пароля. После ввода учетных данных локального пользователя из группы локальных администраторов появляется ошибка доступа (Access is denied). Удаленный доступ к административным шарам возможен только под встроенным администратором Windows .

запрещен доступ к административной шаре C$ для администраторов Windows 10

Удаленный доступ к административным шарам в этом случае блокируется компонентом Remote UAC ( контроль учетных записей для удаленных подключений). Remote UAC фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ к папкам. При доступе под доменным аккаунтом такое ограничение не применяется.

Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy

Совет . Эта операция несколько снижает уровень безопасности Windows.
  1. Откройте редактор реестра ( regedit.exe );
  2. Перейдите в ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem ;
  3. Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy;
  4. Установите значение параметра LocalAccountTokenFilterPolicy равным 1; LocalAccountTokenFilterPolicy
  5. Для применения изменений потребуется перезагрузить компьютер
Примечание . Создать параметр LocalAccountTokenFilterPolicy можно командой

reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

После перезагрузки попробуйте удаленно открыть административный каталог C$ на компьютере Windows. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов.

разрешить удаленный доступ к административным шарам в windows 10

Должно открыться окно проводника с содержимым диска.

EnglishRussianUkrainian