Windows 10 не может получить доступ к sysvol и netlogon
В обновлении Windows 10 было внесено улучшение безопасности, при котором клиент Windows 10 не может просматривать общие ресурсы системного журнала и входа в сеть, чтобы предотвратить непреднамеренный доступ к этим местоположениям.
Симптомами могут быть любые попытки доступа к этим общим папкам. на компьютере с Windows 10 пользователю предлагается ввести учетные данные для входа, и даже учетной записи администратора домена не будет предоставлен доступ.
Это можно решить, добавив UNC-путь DC (<\\ DC_name>) к Hardened UNC-пути в локальном редакторе GPO каждого клиента Windows 10, который может быть расположен в
Computer Configuration > Administrative Templates > Network > Network Provider > Hardened UNC Paths
. Теперь это рабочее решение. однако это не идеально, так как у нас более 120 клиентов (некоторые из них на географически удаленных сайтах), и делать их вручную не так удобно, не говоря уже о том факте, что это сводит на нет всю цель выбора контроллера домена для централизованного управления клиентом.
При попытке протолкнуть такую настройку из GPO возникают 2 проблемы:
- Тот же самый GPO недоступен в консоли управления GP на server 2012 (DC).
- Поскольку объекты групповой политики проталкиваются через папку sysvol, а такая папка недоступна (если вы не исправляете исправление вручную), отправить клиенту довольно сложно.
Желаемый результат - это где это проблема решается через DC, а не из каждого клиента Windows индивидуально.
Я с нетерпением жду помощи.
Спасибо,
J
После дальнейшего исследования было определено, что эту проблему можно решить путем усиления защиты UNC-путей на клиентах вручную. Мы использовали следующий сценарий для более легкого достижения:
%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ
%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ
Он просто применяет защищенные пути UNC с помощью командной строки, а не щелкает по локальному GPO. Понятно, что решение по этому вопросу находится в стадии разработки Microsoft.
Вы сказали, что помещаете DC_NAME в GPO в качестве защищенного UNC. Примеры в базе знаний: \\ * \ Netlogon и \\ * \ Sysvol . Вероятно, не рекомендуется использовать имена контроллеров домена, потому что они меняются, и клиенты могут также использовать \\ DOMAIN_NAME \ Sysvol . Если вы все еще используете определенные имена DC в настройках UNCH GPO, это может быть проблемой.
В вашем исходном сообщении никогда не упоминалось, что у вас есть смесь DC 2012 и 2003 годов. Похоже, у вас только DC 2012 года. UNCH никогда не использовался для ОС 2003 года.
Прочтите KB https://support.microsoft.com/en-us/kb/3000483
Мы определили, что внедрение этих изменений в Windows Server 2003 SP2 потребует таких всеобъемлющих изменений архитектуры, что это дестабилизирует систему и привести к проблемам совместимости приложений. Мы по-прежнему рекомендуем клиентам, которые заботятся о безопасности, перейти на наши новейшие операционные системы, чтобы не отставать от угроз безопасности и получать преимущества надежной современной защиты операционной системы.