我来向您介绍一个主题,即强制登录到其他想要访问 C$(adminshare)的电脑。
我遇到的情况是域中的每个人都可以访问我的 \localhost\C$ 而无需提供任何访问数据,我试图找出一些安全策略规则,但不幸的是我找不到。
有谁遇到过这样的问题并且能够指导我如何强制提示凭证以实现此目的?
答案1
管理共享(C$、ADMIN$ 等)可供所有本地“管理员”组的成员在目标机器上。据我所知,这在任何地方都无法更改。
因此,听起来好像有人将“域用户” AD 组添加到了本地管理员组,或类似的东西。lusrmgr.msc在有问题的机器上运行并检查群组 → 管理员查看谁是该组的成员。(或者,Get-LocalGroupMember Administrators通过 PowerShell。)
请记住,可以通过组策略部署本地组成员 - 用于gpresult检查哪些 GPO 会影响您的系统。如果您发现可疑情况,而您自己不是域管理员,则应与域管理员联系。
注意:不要将身份验证(“强制登录”)与授权(获得访问权限)混淆。在 Active Directory 域环境中,任何用户都能够认证使用他们的域凭据进入你的系统——这与他们实际获得完全不同使用权进入系统。在 AD 中,预期的结果是他们只会收到“访问被拒绝”错误消息,但他们会不是获取凭证提示。