Alexander A. Manaeff

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1

[b][size=150]Проблема:[/size][/b]

Отсутствует сетевой доступ к административным общим ресурсам (admin$, c$, d$ и пр.)
Невозможно зайти на админские ша́́́ры (общие сетевые ресурсы) под аккаунтом пользователя с правами администратора.

Ситуация присутствует на всех операционных системах MS Windows, начиная с Vista и старше (7,8, 8.1, 10, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Server 2016, Server 2019) в том случае, когда компьютер, к которому осуществляется доступ, [i]находится в одноранговой сети, а не в домене Active Directory[/i].

Политика сетевого доступа включена [b][i]обычная[/i][/b] - [i]локальные пользователи удостоверяют себя сами[/i].

При попытке доступа на административный общий сетевой ресурс запрашивается пароль. После авторизации с правами администратора, получаем ошибку «[i]Отказано в доступе[/i]».

К прочим общим ресурсам при этом доступ есть без проблем.


[hr][/hr]
[b][size=150]Решение:[/size][/b]

Дело в том, что, согласно статье [url=https://support.microsoft.com/en-us/help/951016/description-of-user-account-control-and-remote-restrictions-in-windows]Description of User Account Control and remote restrictions in Windows Vista[/url], корпорация Microsoft ввела [b]СЕТЕВОЙ[/b] [b]контроль учетных записей пользователей[/b], начиная с MS Windows Vista и старше:
[quote][b]How UAC remote restrictions work[/b]
To better protect those users who are members of the local Administrators group, we implement UAC restrictions on the network. This mechanism helps prevent against "loopback" attacks. This mechanism also helps prevent local malicious software from running remotely with administrative rights.

[b]Local user accounts (Security Account Manager user account)[/b]
When a user who is a member of the local administrators group on the target remote computer establishes a remote administrative connection by using the net use * \\remotecomputer\Share$ command, for example, they will not connect as a full administrator. The user has no elevation potential on the remote computer, and the user cannot perform administrative tasks. If the user wants to administer the workstation with a Security Account Manager (SAM) account, the user must interactively log on to the computer that is to be administered with Remote Assistance or Remote Desktop, if these services are available.

[b]Domain user accounts (Active Directory user account)[/b]
A user who has a domain user account logs on remotely to a Windows Vista computer. And, the domain user is a member of the Administrators group. In this case, the domain user will run with a full administrator access token on the remote computer, and UAC will not be in effect.

Note This behavior is not different from the behavior in Windows XP.[/quote]

То есть, если компьютер принадлежит домену Active Directory, то проблем нет - администраторы домена имеют полный доступ к административным общим ресурсам, но если компьютер находится в одноранговой сети (в рабочей группе), то для того, чтобы администраторы могли получать сетевой доступ к административным общим ресурсам, необходимо отключить ограничения «[i]удаленного UAC[/i]».

Для этого в реестре по адресу [b][i]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System[/i][/b] создаем параметр [b][i]LocalAccountTokenFilterPolicy[/i][/b] типа [b][i]dword[/i][/b] и устанавливаем ему значение [b][i]1[/i][/b].

Это можно сделать, выполнив от имени Администратора команду:[code]REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1[/code]

[b]Перезагрузка не требуется.[/b]