Заметил некоторые странности при доступе к каталогам SYSVOL и NETLOGON в домене из Windows 10 / Windows Server 2016. При доступе к контроллеру домена с клиента по UNC пути \<domain.ru>SYSVOL
или по IP адресу контроллера домена \192.168.1.10Netlogon
появляется ошибка “ Отказано в доступе ” (Access is denied) с запросом ввода учетной записи и пароля. При указании учетной записи доменного пользователя или даже администратора домена, каталоги все равно не открываются.
При этом тот же самый каталог Sysvol/Netlogon открывается нормально (без запроса пароля), если указать имя контроллера домена: \dc1.domain.rusysvol
или просто \dc1sysvol
.
Кроме того, на проблемных компьютерах с Windows 10 могут наблюдаться проблемы с применением групповых политик . В журнале можно найти ошибки с EventID 1058 :
The processing of Group Policy failed. Windows attempted to read the file \domain.rusysvoldomain.ruPolicies{GPO GUID}gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved.
Все это связано с новыми настройками безопасности, которые предназначены для защиты доменных компьютеров от запуска кода ( логон скриптов , исполняемых файлов) и получения конфигурационных файлов политик из недоверенных источников — UNC hardening . Настройки безопасности Windows 10 / Windows Server 2016 требуют, чтобы для доступа к UNC каталогам с усиленной защитой (SYSVOL и NETLOGON) использовались следующие уровни безопасности:
RequireMutualAuthentication=1
. RequireIntegrity=1
. RequirePrivacy=1
. Иначе старые клиенты не смогут подключиться к сетевым каталогам на контроллерах домена. Изначально эти изменения были внесены в Windows 10 еще в 2015 году в рамках бюллетеней безопасности MS15-011 и MS15-014. В результате был изменен алгоритм работы Multiple UNC Provider (MUP), который теперь использует особые правила для доступа к критичным каталогам на контроллерах домена \*SYSVOL и \*NETLOGON .
Изменить настройки UNC hardening в Windows 10 для доступа к SYSVOL и NETLOGON можно через групповые политики. Вы можете использовать различные настройки безопасности для доступа к разным UNC-путям с помощью политики Hardened UNC Paths (UNC пути с усиленной защитой) .
RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
Или можно разрешить доступ к каталогам Sysvol и Netlogon независимо от UNC пути:
Нужно указать все необходимые вам имена доменов (контроллеров домена) или IP адреса.
RequireMutualAuthentication=1, RequireIntegrity=1
RequireMutualAuthentication=1, RequireIntegrity=1
Осталось обновить политики на компьютере с помощью команды gpupdate /force
и проверить, что у вас появился доступ к каталогам Sysvol и Netlogon.
Вы можете настроить эти параметры с помощью централизованной доменной политики. Или с помочью следующих команд на клиентах. (Эти команды отключат Kerberos аутентификацию при доступе к указанным каталогам на DC. Будет использоваться NTLM, в результате вы сможете открыть защищённые каталоги на DC по IP адресу):
reg add HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths /v "\*SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f
reg add HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetworkProviderHardenedPaths /v "\*NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f
Клиент удаленного рабочего стола (rdp) предоставляет нам возможность войти на сервер терминалов через консоль. Что…
В VMware Workstation есть несколько способов настройки сети гостевой машины: 1) Bridged networking 2) Network…
Встроенный брандмауэр Windows может не только остановить нежелательный трафик на вашем пороге, но и может…
Вопреки распространенному мнению, отключить IPv6 в Windows Vista и Server 2008 это не просто снять…
Параметры экранной заставки для текущего пользователя можно править из системного реестра, для чего: Запустите редактор…
В этой статье расскажу про возможность просмотра журналов событий из командной строки. Эти возможности можно…