似乎我可以通过共享来访问工作网络中每台计算机上的每个驱动器$
?例如:
\\computer_name\C$
可以让我访问 C 盘和每个文件
AD 配置错误吗?如何在自己的机器上禁用此功能?
答案1
这是默认行为。Windows 计算机上的默认隐藏共享是每个主驱动器号、ADMIN$、IPC$ 以及一些专用于某些服务器角色的其他共享。此行为称为“管理共享”。只有管理员才能访问这些共享,因此除非您将具有管理员访问权限的用户帐户分发给网络上的每台其他 PC,否则您没有问题。如果您以普通用户身份登录 PC,而不是以域管理员或网络上其他 PC 上具有相同用户名和密码的本地管理员身份登录,并且您仍然可以访问管理员共享,那么是的,存在问题。
这是 Windows 的一个基本功能,禁用它们可能会带来潜在的负面影响。请注意KB842715。要永久禁用它,您必须使用注册表编辑HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
。在服务器上编辑/添加AutoShareServer
并使值为REG_DWORD
0。在工作站上编辑/添加AutoShareWks
并使值为REG_DWORD
0。