Windows 10がsysvolおよびnetlogonにアクセスできない
Windows 10の更新によりセキュリティ強化が導入され、Windows 10クライアントがこれらの場所への意図しないアクセスを防ぐためにsyslogおよびnetlogon共有を参照できなくなりました。
症状は、Windows 10マシンからこれらの共有にアクセスしようとすると、ユーザーはログイン資格情報の入力を求められ、ドメイン管理者アカウントでさえアクセスが許可されないことです。
これは、DCのUNCパス(<\\ DC_name>)をローカルのGPOエディター内のローカルのUNCパスに追加することで解決できます。
Computer Configuration > Administrative Templates > Network > Network Provider > Hardened UNC Paths
現在、これは実用的なソリューションですが、120以上のクライアント(地理的に離れたサイトにあるクライアントもある)があるため、理想的ではなく、手動で行うのはそれほど便利ではありません。中央クライアント管理用のドメインコントローラー。
GPOからこのような設定をプッシュしようとすると、2つの問題があります:
- 同じGPOは、サーバー2012(DC)のGP管理コンソールでは使用できません。
- GPOはsysvolフォルダーを通じてプッシュされ、そのようなフォルダーにはアクセスできないため(手動で修正を行わない限り)、クライアントにプッシュするのはかなり不可能です。
望ましい結果は、すべてのWindowsクライアントから個別にではなく、DCを通じてこの問題が解決されることです。
お役に立てれば幸いです。
おかげで、
J
さらなる調査の結果、クライアントのUNCパスを手動で強化することで解決できることが判明しました。達成を容易にするために、次のスクリプトを使用しました。
%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ
%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ
これは、ローカルGPOをクリックするのではなく、コマンドラインを使用して、強化されたUNCパスを適用するだけです。解決策は、Microsoftによるこの問題の進行中の作業であると理解されています。
DC_NAMEをGPO=強化されたUNCとして配置していると言いました。KBの例は\\*\Netlogonと\\*\Sysvolです。おそらく使用するのは良い考えではありません= DC名前。これらは変更されるため、クライアントも\\DOMAIN_NAME\Sysvolを使用する場合があります。特定のDC UNCHでの名前を使用している場合GPO設定、それが問題である可能性があります。
元の投稿では、2012年と2003年のDCが混在していることについて言及していません。 2012 DCしかないようですね。 UNCHは2003 OSで利用できませんでした。
KBをお読みください https://support.Microsoft.com/en-us/kb/300048
Windows Server 2003 SP2でこれらの変更を実装するには、システムを不安定にし、アプリケーションの互換性の問題を引き起こすような包括的なアーキテクチャの変更が必要であると判断しました。セキュリティを重視するお客様は、最新のオペレーティングシステムにアップグレードして、セキュリティの脅威に対応し、堅牢で最新のオペレーティングシステム保護の恩恵を受けることを引き続きお勧めします。